Analyse des méthodes d'attaque et de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus

Récemment, un rapport confidentiel des Nations Unies a révélé qu'un certain groupe de hackers avait volé des fonds d'un échange de cryptomonnaie l'année dernière et avait blanchi 147,5 millions de dollars via une certaine plateforme de cryptomonnaie en mars de cette année.

Selon des informations, les enquêteurs examinent 97 cyberattaques présumées contre des entreprises de cryptomonnaie survenues entre 2017 et 2024, impliquant un montant d'environ 3,6 milliards de dollars. Cela inclut l'incident survenu à la fin de l'année dernière, où 147,5 millions de dollars ont été volés à une plateforme d'échange de cryptomonnaies, et ces fonds ont ensuite été blanchis en mars de cette année.

En 2022, les États-Unis ont imposé des sanctions à une plateforme de mixage. L'année suivante, deux co-fondateurs de cette plateforme ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, impliquant des organisations criminelles liées à la Corée du Nord.

Une enquête menée par un analyste de cryptomonnaies révèle que ce groupe de hackers a blanchi 200 millions de dollars de cryptomonnaies en monnaie fiduciaire entre août 2020 et octobre 2023.

Cette organisation de hackers a longtemps été accusée de mener des attaques informatiques massives et des crimes financiers. Leurs cibles sont réparties à travers le monde, des systèmes bancaires aux échanges de cryptomonnaies, des agences gouvernementales aux entreprises privées. Nous analyserons ci-dessous quelques cas d'attaques typiques, révélant comment cette organisation de hackers met en œuvre ces attaques impressionnantes grâce à des stratégies et des techniques complexes.

Ingénierie sociale et attaques de phishing

Selon des médias européens, l'organisation a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié des offres d'emploi sur des plateformes sociales pour tromper les employés, demandant aux candidats de télécharger un PDF contenant un fichier exécutable, mettant ainsi en œuvre une attaque de phishing.

Cette méthode d'attaque tente d'exploiter la manipulation psychologique pour inciter les victimes à baisser leur garde et à exécuter des actions telles que cliquer sur des liens ou télécharger des fichiers, mettant ainsi en danger la sécurité du système. Les hackers ciblent les vulnérabilités dans les systèmes des victimes à l'aide de logiciels malveillants et volent des informations sensibles.

Au cours d'une opération de six mois ciblant un fournisseur de paiement en cryptomonnaie, l'organisation a utilisé des méthodes similaires, entraînant le vol de 37 millions de dollars pour l'entreprise. Ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques par déni de service distribué et tenté de forcer des mots de passe.

Plusieurs attaques de bourses de cryptomonnaies

D'août à octobre 2020, plusieurs échanges de cryptomonnaies et projets ont été attaqués :

• Le 24 août, un portefeuille d'une plateforme d'échange de cryptomonnaies canadienne a été volé.
• Le 11 septembre, un projet a subi une fuite de clé privée, entraînant un transfert non autorisé de 400 000 dollars dans plusieurs portefeuilles contrôlés par l'équipe.
• Le 6 octobre, 75 000 dollars d'actifs cryptographiques ont été transférés d'un portefeuille chaud d'une plateforme d'échange en raison d'une vulnérabilité de sécurité.

Ces fonds volés ont été rassemblés au même endroit au début de 2021, puis transférés et mélangés plusieurs fois via des plateformes de mixage. En 2023, les attaquants ont envoyé les fonds à certaines adresses de retrait spécifiques.

Le fondateur d'une plateforme d'assurance mutuelle a été attaqué par un Hacker

Le 14 décembre 2020, le fondateur d'une plateforme d'assurance mutuelle a vu son compte personnel volé de 370 000 jetons de la plateforme, d'une valeur d'environ 8,3 millions de dollars.

Un hacker a transféré et échangé des fonds volés via plusieurs adresses. Une partie des fonds a été transférée sur le réseau Bitcoin, puis de nouveau sur le réseau Ethereum, après quoi elle a été mélangée via une plateforme de mélange, pour finalement être envoyée à une plateforme de retrait.

De mai à juillet 2021, les attaquants ont transféré 11 millions de USDT sur une plateforme de trading. De février à juin 2023, ils ont de nouveau envoyé par tranches plus de 11 millions de USDT vers deux adresses de retrait différentes.

Incidents d'attaque récents de projets DeFi

En août 2023, deux projets DeFi ont été attaqués, pour un total d'environ 1500 ETH volés. Les Hacker ont transféré ces ETH vers une plateforme de mélange, puis les ont retirés vers plusieurs adresses intermédiaires.

Le 12 octobre 2023, ces fonds ont été centralisés sur une nouvelle adresse. En novembre, cette adresse a commencé à transférer des fonds, qui ont finalement été envoyés à une adresse de retrait spécifique par le biais de transferts et d'échanges.

Résumé

Cette organisation de hackers, après avoir volé des actifs cryptographiques, utilise principalement des opérations inter-chaînes et des mélangeurs pour obscurcir les fonds. Après l'obscurcissement, ils extrairont les actifs volés vers une adresse cible et les enverront à un groupe d'adresses fixes pour des opérations de retrait. Les actifs cryptographiques volés sont généralement déposés dans des adresses de retrait spécifiques, puis échangés contre des monnaies fiat via des services de trading de gré à gré.

Face à cette attaque continue et à grande échelle, l'industrie Web3 est confrontée à de sérieux défis en matière de sécurité. Les organismes concernés surveillent en permanence les activités de ce groupe de hackers et les méthodes de blanchiment de capitaux, afin d'aider les équipes de projet, les autorités de régulation et les services d'application de la loi à lutter contre ce type de crime et à récupérer les actifs volés.