Analyse des activités de vol et de blanchiment de capitaux des cryptoactifs du groupe de hackers Lazarus.

Récemment, un rapport confidentiel des Nations Unies a révélé que le groupe de hackers nord-coréen Lazarus Group avait volé des fonds d'une plateforme d'échange de cryptoactifs l'année dernière et avait blanchi 147,5 millions de dollars via une certaine plateforme de monnaie virtuelle en mars de cette année.

Les inspecteurs du Comité des sanctions du Conseil de sécurité des Nations Unies enquêtent sur 97 attaques informatiques présumées menées par des hackers nord-coréens contre des entreprises de cryptoactifs entre 2017 et 2024, impliquant un montant d'environ 3,6 milliards de dollars. Cela inclut une attaque contre un échange de cryptoactifs à la fin de l'année dernière, entraînant une perte de 147,5 millions de dollars, et qui a été finalisée en mars de cette année par un blanchiment de capitaux.

Le gouvernement d'un certain pays a imposé des sanctions à cette plateforme de cryptoactifs en 2022. En 2023, deux cofondateurs de la plateforme ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, une partie des fonds étant liée à des organisations criminelles en réseau associées à la Corée du Nord.

Selon une enquête d'experts en analyse de cryptoactifs, le groupe Lazarus a blanchi 200 millions de dollars de cryptoactifs en monnaie fiduciaire entre août 2020 et octobre 2023.

Le groupe Lazarus a longtemps été accusé de mener des cyberattaques massives et des crimes financiers, ciblant des secteurs variés à travers le monde. Ci-dessous, nous analyserons quelques cas typiques pour révéler comment cette organisation met en œuvre des attaques par le biais de stratégies complexes et de techniques sophistiquées.

Les attaques d'ingénierie sociale et de phishing du groupe Lazarus

Selon des médias européens, Lazarus a précédemment ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses offres d'emploi sur les réseaux sociaux pour inciter les demandeurs d'emploi à télécharger des fichiers PDF contenant des logiciels malveillants, afin d'exécuter des attaques par hameçonnage.

Ces attaques d'ingénierie sociale et de phishing exploitent la manipulation psychologique pour inciter les victimes à baisser leur garde et à effectuer des opérations dangereuses comme cliquer sur des liens ou télécharger des fichiers. Leur logiciel malveillant peut exploiter les vulnérabilités du système compromis pour voler des informations sensibles.

Lazarus a utilisé des méthodes similaires lors d'une opération de six mois contre un fournisseur de paiement en cryptoactifs, entraînant le vol de 37 millions de dollars pour cette entreprise. Tout au long du processus, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques techniques de déni de service distribué, et tenté de forcer des mots de passe.

Plusieurs attaques sur des échanges de cryptoactifs

De août à octobre 2020, plusieurs échanges de cryptoactifs ont été attaqués :

• Le 24 août, le portefeuille d'une certaine bourse canadienne a été volé.
• Le 11 septembre, un projet a subi un transfert non autorisé de 400 000 dollars en raison de la fuite de la clé privée du portefeuille de l'équipe.
• Le 6 octobre, un portefeuille chaud d'une certaine bourse a transféré 750 000 dollars de Cryptoactifs en raison d'une faille de sécurité.

Ces fonds volés ont été rassemblés au début de 2021 à la même adresse, puis blanchis via un service de mélange. Les attaquants ont effectué plusieurs transferts et échanges, avant d'envoyer finalement les fonds à une adresse de dépôt spécifique.

Le fondateur d'un projet connu a été attaqué par un Hacker

Le 14 décembre 2020, le portefeuille personnel du fondateur d'un projet d'assurance mutuelle a été volé de 370 000 jetons (d'une valeur de 8,3 millions de dollars). Les fonds volés ont été transférés entre plusieurs adresses et échangés contre d'autres actifs. L'attaquant a utilisé des opérations inter-chaînes, des plateformes de mélange de jetons et plusieurs transferts pour brouiller l'origine des fonds.

De mai à juillet 2021, les hackers ont transféré 11 millions de USDT vers une plateforme d'échange. De février à juin 2023, ils ont de nouveau envoyé un total de 11,17 millions de USDT en plusieurs fois vers deux adresses de dépôt différentes.

Analyse des événements d'attaque récents

En août 2023, lors de deux attaques distinctes, un total de 1524 ETH a été transféré à un service de mélange de jetons. Les fonds ont ensuite été retirés vers plusieurs adresses de transit, et finalement envoyés en novembre à une adresse de dépôt spécifique après échange.

Résumé

Les principales méthodes de blanchiment de capitaux du groupe Lazarus comprennent :

1. Transfert inter-chaînes
2. Utiliser le service de mélange de jetons
3. Plusieurs transferts et échanges
4. Enfin, regroupez les fonds à une adresse fixe pour effectuer un retrait.

Ces attaques continues et massives représentent une menace sérieuse pour la sécurité de l'industrie Web3. Les organismes concernés suivent de près les mouvements de ce groupe de hackers et les méthodes de blanchiment de capitaux afin d'aider à lutter contre ce type de criminalité et à récupérer les actifs volés.