Des pirates soutenus par la Corée du Nord ont piraté JumpCloud pour cibler les clients de crypto-monnaie | TechCrunch
<img alt="" aria-hidden="true" class="i-amphtml-intrinsic-sizer" role="presentation" src="data:image/svg+xml;charset=utf-8, »/>
Crédits image : NurPhoto / Chris Jung / Getty Images
Des pirates informatiques soutenus par l’État nord-coréen ont piraté la société américaine de logiciels d’entreprise JumpCloud pour cibler ses clients de crypto-monnaie, ont déclaré jeudi des chercheurs en sécurité.
JumpCloud, une plate-forme d’annuaire qui permet aux entreprises d’authentifier, d’autoriser et de gérer les utilisateurs et les appareils, a déclaré cette semaine qu’un acteur d’État était à l’origine d’une violation de ses systèmes en juin qui a forcé l’entreprise à réinitialiser les clés API des clients.
Alors que JumpCloud n’attribuait pas à l’époque les pirates à une nation en particulier, les chercheurs des sociétés de cybersécurité CrowdStrike et SentinelOne ont aujourd’hui attribué la violation à des pirates soutenus par la Corée du Nord appelés Lazarus, un groupe bien connu connu pour cibler des entités cryptographiques telles que le Ronin Network et Harmonys Horizon Bridge. Les intervenants de Mandiant ont également attribué le piratage à la Corée du Nord.
CrowdStrike a lié l’attaque JumpCloud à Labyrinth Chollima, un sous-groupe du célèbre groupe de piratage Lazarus qui était également lié aux récentes attaques de la chaîne d’approvisionnement ciblant le fabricant de téléphones d’entreprise 3CX. Le vice-président senior de CrowdStrike pour le renseignement, Adam Meyers, a déclaré à Reuters que les pirates, que la société de cybersécurité suit depuis 2009 et décrit comme l’un des adversaires les plus prolifiques de la RPDC, ont l’habitude de cibler des individus liés au secteur de la crypto-monnaie. La Corée du Nord a une longue histoire d’utilisation d’opérations de vol de crypto pour financer son programme d’armes nucléaires sanctionné.
Par ailleurs, le chercheur de SentinelOne, Tom Hegel, a confirmé que les indicateurs de compromission (IOC) partagés par JumpCloud sont liés à une grande variété d’activités que nous attribuons à la RPDC. Hegel dit dans un tweet il était très confiant dans l’attribution de la violation à la Corée du Nord, et a déclaré que les pirates pourraient également avoir été à l’origine d’une récente campagne d’ingénierie sociale ciblant les clients de GitHub.
La campagne à faible volume ciblait les comptes personnels des employés des entreprises technologiques, a déclaré GitHub dans un article de blog la semaine dernière, dont beaucoup sont liés aux secteurs de la blockchain, de la crypto-monnaie ou des jeux d’argent en ligne. GitHub a attribué le ciblage à un groupe opérant à l’appui des objectifs nord-coréens, suivi sous le nom de TraderTraitor par CISA.
Sur la base des détails publics disponibles au moment d’écrire ces lignes, il n’est pas clair si l’alerte GitHub provient de l’incident JumpCloud ou s’il s’agit d’efforts distincts du même attaquant, a déclaré Hegel.
Mandiant, qui travaille avec un client qui a été compromis par la violation de JumpCloud, a confirmé jeudi qu’il évalue avec une grande confiance que les pirates sont un élément axé sur la crypto-monnaie au sein du North Koreas Reconnaissance General Bureau, ou RGB. Mandiant a déclaré que cette unité de piratage cible les entreprises ayant des marchés verticaux de crypto-monnaie pour obtenir des informations d’identification et des données de reconnaissance.
Plus tard, JumpCloud a confirmé les conclusions de CrowdStrikes et a déclaré que moins de cinq clients et moins de 10 appareils avaient été compromis par les pirates. Le logiciel JumpClouds est utilisé par plus de 180 000 organisations et la société compte plus de 5 000 clients payants.
Après avoir détecté l’incident, nous avons immédiatement pris des mesures en fonction de notre plan de réponse aux incidents pour atténuer la menace, sécuriser notre réseau et notre périmètre, communiquer avec nos clients et engager les forces de l’ordre, a déclaré la porte-parole de JumpCloud, Josie Judy, à TechCrunch plus tôt dans la journée.
En mai, des responsables américains annoncé de nouvelles sanctions contre l’armée nord-coréenne d’informaticiens illégaux, qui, selon eux, ont obtenu frauduleusement des emplois dans le monde entier pour financer les programmes d’armes de destruction massive du régime. Le département d’État américain offre également des récompenses allant jusqu’à 10 millions de dollars pour des informations qui pourraient aider à perturber les pirates nord-coréens.
Mis à jour avec un commentaire de Mandiant, et plus tard avec une mise à jour de JumpCloud.