Lazarus ou Hidden Cobra, un groupe à l’origine de menaces persistantes avancées (APT) commanditées par le gouvernement nord-coréen, serait à l’origine d’une série de piratages récente. D’après Sansec, c’est l’écrémeur de cartes de crédit Megacart, retrouvée sur le site de la dernière victime, le détaillant Claire’s Accessories, qui aurait compromis ce groupe de pirates.
Les APT nord-coréens se sont tournées vers les détaillants européens et américains
Auparavant, les activités du groupe APT nord-coréen se limitaient aux banques et aux cryptomonnaies se trouvant aux marchés de la Corée du Sud. Cependant, dernièrement, il s’est tourné vers les détaillants installés aux États-Unis et en Europe. Ces menaces venant de la Corée du Sud sont probablement motivées par l’obtention de plus de devises. Effectivement, l’utilisation de Magecart rapporte beaucoup sur le Dark Web. Par ailleurs, Lazarus ou Hidden Cobra, a également fait des attaques par harponnage visant à obtenir les mots de passe des employés afin de déchiffrer le code du magasin. C’est par la suite que le script Magecart a été injecté et a exfiltré des informations de paiements vers le serveur des malfaiteurs.
Hidden Cobra est démasqué par l’expert Sansec
Les APT nord-coréens ont été démasqués, étant donné qu’ils ont utilisé les mêmes procédés que pour les dernières opérations de Hidden Cobra. En effet, Sansec suit l’opération depuis plus d’un an, c’est ce qui lui a permis d’identifier ce dernier. Trouvant entre 30 et 100 e-commerces infectés par le Magecart quotidiennement, il est un expert dans ce domaine. C’est donc avec une grande assurance et avec des explications bien fondées que Sansec relie les attaques des détaillants à Hidden Cobra.