Analyse des attaques informatiques et des méthodes de blanchiment d'argent du groupe de hackers nord-coréen Lazarus

Récemment, un rapport secret des Nations Unies a révélé les dernières activités criminelles du groupe de hackers nord-coréen Lazarus Group. L'organisation a blanchi 147,5 millions de dollars de fonds illicites via une plateforme de cryptomonnaie en mars de cette année, ces fonds provenant d'un vol survenu l'année dernière contre une bourse de cryptomonnaie.

Les enquêteurs du Comité des sanctions du Conseil de sécurité des Nations Unies examinent 97 cyberattaques présumées menées par des hackers nord-coréens contre des entreprises de cryptomonnaie entre 2017 et 2024, pour un montant total atteignant 3,6 milliards de dollars. Cela inclut une attaque contre une plateforme d'échange de cryptomonnaie à la fin de l'année dernière, qui a entraîné le vol de 147,5 millions de dollars, suivi du processus de blanchiment d'argent terminé en mars de cette année.

En 2022, les États-Unis ont imposé des sanctions à cette plateforme de cryptomonnaie. L'année suivante, deux cofondateurs de la plateforme ont été accusés d'avoir aidé à blanchir plus d'un milliard de dollars, dont une partie des fonds était liée au groupe criminel en ligne Lazarus Group associé à la Corée du Nord.

Une enquête menée par un analyste de cryptomonnaie a révélé que le Lazarus Group a converti des cryptomonnaies d'une valeur de 200 millions de dollars en monnaie fiduciaire entre août 2020 et octobre 2023.

Le groupe Lazarus est depuis longtemps considéré comme le cerveau derrière des cyberattaques massives et des crimes financiers à l'échelle mondiale. Leurs cibles englobent divers domaines tels que les systèmes bancaires, les échanges de cryptomonnaies, les agences gouvernementales et les entreprises privées. Ce qui suit est une analyse détaillée de plusieurs cas d'attaques typiques de cette organisation, révélant ses méthodes d'opération complexes.

Les attaques d'ingénierie sociale et de phishing du groupe Lazarus

Selon les médias européens, Lazarus aurait ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses offres d'emploi sur les plateformes sociales pour inciter les demandeurs d'emploi à télécharger des fichiers PDF contenant des codes malveillants, afin de mettre en œuvre des attaques de phishing.

Ce type d'ingénierie sociale et d'attaques par hameçonnage utilise des moyens de manipulation psychologique pour inciter les victimes à baisser leur garde et à exécuter des opérations dangereuses telles que cliquer sur des liens ou télécharger des fichiers. Les hackers peuvent exploiter les vulnérabilités du système des victimes grâce aux logiciels malveillants déployés et voler des informations sensibles.

Lazarus a également mené une attaque de six mois contre un fournisseur de paiements en cryptomonnaie, entraînant une perte de 37 millions de dollars pour l'entreprise. Tout au long de l'attaque, les hackers ont envoyé de fausses offres d'emploi aux ingénieurs, tout en lançant des attaques techniques telles que des attaques par déni de service distribué, et ont tenté de procéder à des attaques par force brute sur les mots de passe.

Une série d'attaques contre les échanges de cryptomonnaies

De août à octobre 2020, plusieurs échanges de cryptomonnaies ont été attaqués. Le 24 août, le portefeuille d'un échange canadien a été volé. Le 11 septembre, plusieurs portefeuilles contrôlés par une équipe de projet ont subi des transferts non autorisés, entraînant une perte de 400 000 dollars. Le 6 octobre, un autre échange a perdu 750 000 dollars d'actifs cryptographiques en raison d'une vulnérabilité de sécurité.

Ces fonds volés ont été regroupés à la même adresse au début de 2021. Entre le 11 et le 15 janvier, les attaquants ont déposé et retiré près de 4500 ETH via un service de mélange. En 2023, ces fonds ont été envoyés à certaines adresses de dépôt spécifiques après plusieurs transferts et échanges.

Attaques ciblées sur des personnalités connues

Le 14 décembre 2020, le fondateur d'une plateforme d'assurance mutuelle a subi une attaque de Hacker, entraînant une perte de tokens d'une valeur de 8,3 millions de dollars. Les attaquants ont ensuite transféré et échangé des fonds via plusieurs adresses, une partie des fonds ayant été transférée sur le réseau Bitcoin, puis de retour sur Ethereum, avant d'être mélangée via une plateforme de mixage.

Du 16 au 20 décembre 2020, l'attaquant a envoyé plus de 2500 ETH à un service de mélange. Quelques heures plus tard, une autre adresse a commencé à retirer ces fonds. De mai à juillet 2021, l'attaquant a transféré 11 millions de USDT vers une adresse de dépôt. De février à juin 2023, plus de 11 millions de USDT ont de nouveau été transférés vers d'autres adresses de dépôt.

Derniers cas d'attaque

En août 2023, deux nouvelles attaques ont eu lieu. 1524 ETH volés ont été transférés vers un service de mélange. Le 12 octobre de la même année, ces fonds ont été retirés vers une nouvelle adresse. En novembre, cette adresse a commencé à transférer des fonds, qui ont finalement été envoyés vers plusieurs adresses de dépôt spécifiques via des intermédiaires et des échanges.

Résumé

Le modus operandi du groupe Lazarus présente un certain schéma : après avoir volé des actifs cryptographiques, ils confondent généralement la source des fonds en utilisant des opérations inter-chaînes et des services de mélange. Ensuite, ils retirent les actifs mélangés vers une adresse cible et les envoient vers un groupe d'adresses fixes pour le retrait. Les actifs volés sont finalement souvent déposés dans une adresse de dépôt spécifique, puis échangés contre des monnaies fiduciaires via des services de trading de gré à gré.

Face à l'attaque continue et massive du Lazarus Group, l'industrie Web3 fait face à de sérieux défis en matière de sécurité. Les agences concernées surveillent en permanence les activités de ce Hacker afin d'aider les projets, les régulateurs et les autorités judiciaires à lutter contre ce type de criminalité et à récupérer les actifs volés.