Analyse des méthodes d'attaque et de blanchiment de capitaux de la cryptomonnaie du groupe de hackers nord-coréen Lazarus

Récemment, un rapport secret des Nations Unies a révélé les dernières actions du groupe de hackers nord-coréen Lazarus Group. Selon des informations, cette organisation a blanchi 147,5 millions de dollars via une plateforme de cryptoactifs en mars de cette année, après avoir volé des fonds d'un échange de cryptoactifs l'année dernière.

Les observateurs du comité des sanctions du Conseil de sécurité des Nations Unies enquêtent sur 97 cyberattaques présumées de hackers nord-coréens visant des entreprises de cryptoactifs entre 2017 et 2024, pour un montant pouvant atteindre 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par un échange de cryptoactifs à la fin de l'année dernière, dont les fonds ont ensuite été blanchis en mars de cette année.

Il convient de noter qu'une certaine plateforme de mélange de jetons a été sanctionnée par les États-Unis en 2022, et l'année suivante, deux de ses cofondateurs ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, y compris des fonds liés à l'organisation criminelle en ligne Lazarus Group associée à la Corée du Nord.

Selon une enquête menée par des analystes de cryptoactifs, le groupe Lazarus a converti 200 millions de dollars de cryptoactifs en monnaie fiduciaire entre août 2020 et octobre 2023.

Le groupe Lazarus a longtemps été accusé de mener des attaques informatiques à grande échelle et des crimes financiers. Leurs cibles sont réparties dans le monde entier, touchant plusieurs domaines tels que les systèmes bancaires, les Cryptoactifs, les échanges de Cryptoactifs, les agences gouvernementales et les entreprises privées.

Méthodes d'attaque du groupe Lazarus

Ingénierie sociale et attaques de phishing

Le groupe Lazarus a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils publient de fausses offres d'emploi sur des plateformes sociales pour inciter les chercheurs d'emploi à télécharger des fichiers PDF contenant des logiciels malveillants, réalisant ainsi des attaques de phishing. Cette méthode ne se limite pas à des secteurs spécifiques, des techniques similaires ayant également été utilisées dans des attaques contre des fournisseurs de paiements en Cryptoactifs.

Plusieurs incidents d'attaques de plateformes de Cryptoactifs

Entre août et octobre 2020, plusieurs plateformes de cryptoactifs ont été attaquées, y compris un échange canadien, un projet de blockchain et une autre plateforme d'échange de cryptoactifs. Les fonds impliqués dans ces attaques variaient de plusieurs dizaines de milliers de dollars à plusieurs millions de dollars.

L'attaquant regroupe les fonds volés à une adresse spécifique grâce à une série de transferts complexes et d'opérations de mélange de jetons. Ensuite, ils utilisent un service de mélange de jetons pour blanchir les fonds et déplacent les fonds blanchis vers une plateforme de retrait.

Attaque contre des cibles de haute notoriété

En décembre 2020, le fondateur d'une plateforme d'assurance par entraide a été victime d'une attaque de Hacker, entraînant une perte d'environ 8,3 millions de dollars. Les attaquants ont effectué des transferts et des échanges de fonds via plusieurs adresses, utilisant des techniques telles que le chiffrement inter-chaînes et le mélange de jetons pour dissimuler le flux de fonds. Finalement, la plupart des fonds volés ont été transférés vers une adresse de retrait spécifique.

Derniers cas d'attaque

En 2023, deux attaques ciblant des projets DeFi ont attiré l'attention. Les hackers ont transféré les ethers volés vers des services de blanchiment de capitaux, puis ont déplacé les fonds à travers une série d'adresses, pour finalement les envoyer vers des plateformes de retrait courantes.

Modèle de blanchiment de capitaux du groupe Lazarus

En analysant les cas ci-dessus, on peut résumer le modèle typique de blanchiment de capitaux du groupe Lazarus :

1. Fongibilité des fonds : utiliser des opérations inter-chaînes et des services de mélange de jetons pour brouiller la provenance des fonds.
2. Transfert dispersé : transférer des fonds par le biais de plusieurs adresses intermédiaires.
3. Collecte de fonds : Regrouper les fonds blanchis à une adresse spécifique.
4. Retrait final : Utiliser une plateforme de retrait fixe pour échanger des cryptoactifs contre de la monnaie fiduciaire.

Ce processus de blanchiment de capitaux complexe rend le suivi et la récupération des actifs volés extrêmement difficiles.

Face aux attaques massives continues du Lazarus Group, l'industrie Web3 fait face à de graves défis en matière de sécurité. Les agences concernées surveillent en permanence les mouvements de ce hacker pour espérer pouvoir lutter efficacement contre de tels crimes et maintenir la sécurité de l'écosystème des cryptoactifs.