CryptoCore, dont on pense que l’opération se fait depuis l’Europe de l’Est, a réussi à infiltrer plusieurs exchanges dans le monde
Un rapport partagé avec ZDnet a révélé qu’un groupe organisé de hackers opérerait depuis l’Europe de l’Est et aurait volé plus de 200 millions de dollars sur les crypto-bourses en ligne.
Le chef de l’équipe de recherche de ClearSky, Or Blatt, a déclaré que le groupe est actif depuis 2018. ClearSky, une société de cybersécurité, a suivi les activités des pirates menées sous le pseudonyme CryptoCore.
Blatt a expliqué que son équipe avait réussi à relier CryptoCore à cinq piratages informatiques ayant permis de voler des jetons, mais qu’elle avait également vu le groupe cibler 10 à 20 exchanges supplémentaires comme nouvel objectif.
Les cinq victimes confirmées des pirates sont situées au Japon, aux États-Unis et au Moyen-Orient. En raison d’accords de non-divulgation, Blatt n’a pas pu divulguer les noms de ces victimes.
ClearSky affirme que certaines des opérations de CryptoCore ont déjà été documentées dans des rapports isolés qui ont identifié le groupe comme « Dangerous Password » et « Leery Turtle [PDF] ». La société de sécurité israélienne affirme que les opérations du groupe ont été plus étendues que ce qui a été documenté.
Cependant, bien qu’il soit en activité depuis près de trois ans, ClearSky affirme que le groupe a continué à utiliser les mêmes tactiques de façon constante avec des variations minimes dans leurs attaques.
Selon ClearSky, toutes leurs attaques commencent par une étape de collecte d’informations, où ils rassemblent les détails nécessaires pour cibler le personnel informatique, la direction et les autres employés concernés d’un échange. Les premières attaques de phishing commencent toujours par les comptes e-mail personnels plutôt que ceux de l’entreprise, car ceux-ci sont probablement moins sûrs. Certains comptes contiennent également des informations commerciales.
À partir de là, les opérateurs CryptoCore finissent par s’attaquer aussi aux comptes d’entreprise. Cela prend de quelques heures à quelques semaines.
« C’est une question d’heures ou de semaines avant que l’e-mail de spear-phishing ne soit envoyé à un compte e-mail d’entreprise d’un cadre de la crypto-bourse » a déclaré ClearSky.
Le spear-phishing est généralement pratiqué par des pirates informatiques se faisant passer pour un employé de haut rang de l’organisation cible ayant des liens avec l’employé visé.
L’objectif final du groupe est d’implanter un logiciel malveillant sur l’ordinateur d’un employé ou d’un cadre, ce qui lui permettra d’accéder à un compte de gestionnaire de mots de passe. À partir de là, les pirates utilisent ces mots de passe pour accéder aux comptes et aux portefeuilles, désactiver les systèmes d’authentification et commencer le transfert de fonds à partir des portefeuilles chauds de la crypto-bourse.
CryptoCore est devenu le deuxième groupe organisé connu à cibler de manière répétée les exchanges au cours des trois ou quatre dernières années.
Traduit par Carolane de Palmas