Les attaques informatiques et les méthodes de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus Group

Récemment, un rapport confidentiel des Nations Unies a révélé les dernières activités du groupe de hackers nord-coréen Lazarus Group. Il est rapporté que l'organisation a blanchi 147,5 millions de dollars via une plateforme de cryptomonnaie en mars de cette année, après avoir volé des fonds d'un échange de cryptomonnaie l'année dernière.

Les enquêteurs du Comité des sanctions du Conseil de sécurité des Nations Unies ont révélé qu'ils enquêtent sur 97 attaques informatiques présumées par des hackers nord-coréens ciblant des entreprises de cryptomonnaie entre 2017 et 2024, pour un montant pouvant atteindre 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par une plateforme d'échange de cryptomonnaies à la fin de l'année dernière, qui a ensuite été blanchie en mars de cette année.

Il est à noter que le gouvernement américain a imposé des sanctions à cette plateforme de cryptomonnaie en 2022. En 2023, deux co-fondateurs de cette plateforme ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, y compris des revenus illégaux associés au groupe criminel en ligne Lazarus Group lié à la Corée du Nord.

Selon une enquête menée par des experts en analyse de cryptomonnaies, le Lazarus Group a réussi à convertir des cryptomonnaies d'une valeur de 200 millions de dollars en monnaie fiduciaire entre août 2020 et octobre 2023.

Le groupe Lazarus a longtemps été accusé de mener des cyberattaques massives et des crimes financiers. Leurs cibles couvrent le monde entier, des systèmes bancaires aux échanges de cryptomonnaies, des agences gouvernementales aux entreprises privées, rien n'est épargné. Nous allons maintenant analyser plusieurs cas d'attaques typiques, révélant comment le groupe Lazarus a réussi à mettre en œuvre ces attaques étonnantes grâce à ses stratégies complexes et ses techniques.

Les attaques d'ingénierie sociale et de phishing du groupe Lazarus

Selon les médias européens, Lazarus a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses offres d'emploi sur les réseaux sociaux pour inciter les demandeurs d'emploi à télécharger des documents PDF contenant des fichiers exécutables malveillants, réalisant ainsi des attaques de phishing.

Ces attaques d'ingénierie sociale et de phishing tentent d'exploiter la manipulation psychologique pour inciter les victimes à baisser leur garde et à effectuer des actions dangereuses telles que cliquer sur des liens ou télécharger des fichiers, compromettant ainsi leur sécurité. Les Hackers, en implantant des logiciels malveillants, peuvent cibler les vulnérabilités dans les systèmes des victimes et voler des informations sensibles.

Lazarus a également utilisé des méthodes similaires dans une opération de six mois ciblant un fournisseur de paiement en cryptomonnaie, entraînant le vol de 37 millions de dollars pour l'entreprise. Tout au long de l'attaque, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques techniques telles que des attaques par déni de service distribué, et tenté plusieurs mots de passe possibles dans le cadre d'une attaque par force brute.

Analyse des incidents d'attaque de CoinBerry, Unibright, etc.

Le 24 août 2020, le portefeuille d'un échange de cryptomonnaie canadien a été piraté. Le 11 septembre 2020, en raison d'une fuite de clé privée, des transferts non autorisés d'une valeur de 400 000 $ ont eu lieu dans plusieurs portefeuilles contrôlés par l'équipe Unbright. Le 6 octobre 2020, une plateforme de cryptomonnaie a transféré de manière non autorisée des actifs cryptographiques d'une valeur de 750 000 $ dans son portefeuille chaud en raison d'une vulnérabilité de sécurité.

Début 2021, les fonds de ces incidents d'attaque ont été rassemblés à la même adresse. Par la suite, les attaquants ont déposé une grande quantité d'ETH via un service de mélange de fonds, puis ont à nouveau retiré dans un court laps de temps. En 2023, après plusieurs transferts et échanges, ces fonds ont finalement été rassemblés à d'autres adresses de collecte de fonds d'incidents de sécurité et ont été envoyés vers certaines adresses de dépôt spécifiques.

Le fondateur d'une plateforme d'entraide a été attaqué par un Hacker

Le 14 décembre 2020, le portefeuille personnel du fondateur d'une plateforme d'entraide a été volé de 370 000 NXM (environ 8,3 millions de dollars). Les fonds volés ont été transférés entre plusieurs adresses et échangés contre d'autres actifs. Le groupe Lazarus a effectué des opérations de blanchiment de capitaux, de dispersion et de regroupement via ces adresses. Une partie des fonds a été transférée sur le réseau Bitcoin, puis renvoyée sur le réseau Ethereum, avant d'être mélangée sur une plateforme de mixage, et enfin envoyée vers une plateforme de retrait.

Mi-décembre 2020, l'une des adresses des Hackers a envoyé une grande quantité d'ETH à un service de mélange. Quelques heures plus tard, une autre adresse associée a commencé les opérations de retrait. Le Hacker a transféré et échangé une partie des fonds vers l'adresse de retrait de fonds collectés mentionnée précédemment.

De mai à juillet 2021, les attaquants ont transféré 11 millions de USDT vers l'adresse de dépôt d'une certaine plateforme d'échange. De février à juin 2023, les attaquants ont à nouveau envoyé une grande quantité de USDT vers l'adresse de dépôt d'autres plateformes d'échange via différentes adresses.

Steadefi et CoinShift Hacker attaque

En août 2023, 624 ETH volés lors de l'incident Steadefi et 900 ETH volés lors de l'incident CoinShift ont été transférés vers un service de mixage. Par la suite, ces fonds ont été retirés vers plusieurs adresses spécifiques.

Le 12 octobre 2023, les fonds retirés de ce service de mélange d'adresses seront envoyés vers une nouvelle adresse. D'ici novembre 2023, cette adresse commencera à transférer des fonds, qui seront finalement envoyés vers certains dépôts spécifiques par le biais de transferts et d'échanges.

Résumé

Le groupe Lazarus, après avoir volé des actifs cryptographiques, utilise principalement des opérations inter-chaînes et des services de mélange pour obscurcir la provenance des fonds. Après avoir été mélangés, ils retirent les actifs volés vers une adresse cible et les envoient à un groupe d'adresses fixes pour le retrait. Les actifs cryptographiques volés sont généralement déposés à une adresse spécifique, puis échangés contre de la monnaie fiduciaire via des services de trading de gré à gré.

Face à l'attaque continue et à grande échelle du Lazarus Group, l'industrie Web3 fait face à de sérieux défis en matière de sécurité. Les organismes concernés suivent de près les activités de ce Hacker et traquent en profondeur ses méthodes de Blanchiment de capitaux, afin d'assister les projets, les régulateurs et les autorités judiciaires dans la lutte contre ce type de criminalité et dans la récupération des actifs volés.