Le département du Trésor américain a impliqué le groupe Lazarus soutenu par la Corée du Nord (alias Hidden Cobra) dans le vol de 540 millions de dollars du réseau Ronin du jeu vidéo Axie Infinity le mois dernier.
Jeudi, le Trésor attaché l’Ethereum adresse de portefeuille qui a reçu les fonds volés à l’auteur de la menace et a sanctionné les fonds en ajoutant l’adresse aux ressortissants spécialement désignés de l’Office of Foreign Assets Control (OFAC) (SDN) Lister.
« Le FBI, en coordination avec le Trésor et d’autres partenaires du gouvernement américain, continuera d’exposer et de combattre l’utilisation par la RPDC d’activités illicites – y compris la cybercriminalité et le vol de crypto-monnaie – pour générer des revenus pour le régime », a déclaré l’agence de renseignement et d’application de la loi. mentionné dans un rapport.
Le hold-up de la crypto-monnaie, le deuxième en importance vol de crypto-monnaie à ce jour, impliquait le siphonnage de 173 600 Ether (ETH) et 25,5 millions de pièces USD du pont inter-chaînes Ronin, qui permet aux utilisateurs de transférer leurs actifs numériques d’un réseau cryptographique à un autre, le 23 mars 2022.
« L’attaquant a utilisé des clés privées piratées afin de falsifier de faux retraits », le réseau Ronin expliqué dans son rapport de divulgation une semaine plus tard après la révélation de l’incident.
Les sanctions interdisent aux personnes et entités américaines d’effectuer des transactions avec l’adresse en question pour s’assurer que le groupe parrainé par l’État ne peut plus retirer de fonds. Une analyse d’Elliptic a révélé que l’acteur avait réussi à blanchir 18% des fonds numériques détournés (environ 97 millions de dollars) au 14 avril.
« Tout d’abord, l’USDC volé a été échangé contre des ETH via des échanges décentralisés (DEX) pour éviter qu’il ne soit saisi », Elliptic c’est noté. « En convertissant les jetons sur les DEX, le pirate informatique a évité les vérifications anti-blanchiment d’argent (AML) et « connaissez votre client » (KYC) effectuées sur les échanges centralisés. »
Près de 80,3 millions de dollars des fonds blanchis ont impliqué l’utilisation de Tornado Cash, un service de mixage sur la blockchain Ethereum conçu pour masquer la piste des fonds, avec 9,7 millions de dollars supplémentaires d’ETH susceptibles d’être blanchis de la même manière.
Lazarus Group, un nom générique attribué à des acteurs prolifiques parrainés par l’État opérant au nom d’intérêts stratégiques nord-coréens, a des antécédents de vols de crypto-monnaie depuis au moins 2017 pour contourner les sanctions et financer les programmes nucléaires et de missiles balistiques du pays.
« On pense que les opérations d’espionnage du pays reflètent les préoccupations et les priorités immédiates du régime, qui se concentre actuellement probablement sur l’acquisition de ressources financières par le biais de cambriolages cryptographiques, le ciblage des médias, des nouvelles et des entités politiques, [and] des informations sur les relations étrangères et des informations sur le nucléaire », a souligné Mandiant lors d’une récente analyse approfondie.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a peint les cyberacteurs en tant que groupe de plus en plus sophistiqué qui a développé et déployé une large gamme d’outils malveillants dans le monde entier pour faciliter ces activités.
Le groupe est connu pour avoir pillé environ 400 millions de dollars d’actifs numériques à partir de plates-formes cryptographiques en 2021, marquant un bond de 40% par rapport à 2020, selon Chainalysis, qui a constaté que « seulement 20% des fonds volés étaient du Bitcoin, [and that] Ether représentait la majorité des fonds volés à 58%. »
En dépit les sanctions imposées par le gouvernement américain au collectif de piratage, les récentes campagnes entreprises par le groupe ont capitalisé sur les applications de portefeuille de financement décentralisé (DeFi) cheval de Troie pour détourner les systèmes Windows et détourner les fonds d’utilisateurs sans méfiance.
Ce n’est pas tout. Dans une autre cyber-offensive révélée par Broadcom Symantec cette semaine, l’acteur a été observé ciblant les organisations sud-coréennes opérant dans le secteur chimique dans ce qui semble être la continuation d’une campagne de logiciels malveillants baptisée « Operation Dream Job », corroborant les conclusions du groupe d’analyse des menaces de Google en mars 2022.
Les intrusions, détectées plus tôt en janvier, ont commencé par un fichier HTM suspect reçu sous forme de lien dans un e-mail de phishing ou téléchargé sur Internet qui, lorsqu’il est ouvert, déclenche une séquence d’infection, conduisant finalement à la récupération d’une charge utile de deuxième étape à partir de un serveur distant pour faciliter d’autres incursions.
L’objectif des attaques, a estimé Symantec, est « d’obtenir la propriété intellectuelle pour faire avancer les propres poursuites de la Corée du Nord dans ce domaine ».
L’assaut continu d’activités illicites perpétrées par le groupe Lazarus a également conduit le département d’État américain à annoncer une récompense de 5 millions de dollars pour « les informations qui conduisent à la perturbation des mécanismes financiers des personnes engagées dans certaines activités qui soutiennent la Corée du Nord ».
Cette évolution intervient quelques jours après qu’un tribunal américain de New York a condamné Virgil Griffith, un ancien développeur d’Ethereum de 39 ans, à cinq ans et trois mois de prison pour avoir aidé la Corée du Nord à utiliser des monnaies virtuelles pour échapper aux sanctions.
Pour aggraver les choses, des acteurs malveillants ont dérobé 1,3 milliard de dollars de crypto-monnaie au cours des trois premiers mois de 2022 seulement, contre 3,2 milliards de dollars qui ont été pillés pendant toute l’année 2021, indiquant une « augmentation fulgurante » des vols sur les plateformes de cryptographie.
« Près de 97% de toutes les crypto-monnaies volées au cours des trois premiers mois de 2022 ont été prises à partir des protocoles DeFi, contre 72% en 2021 et seulement 30% en 2020 », Chainalysis mentionné dans un rapport publié cette semaine.
« Pour les protocoles DeFi en particulier, cependant, les vols les plus importants sont généralement dus à un code défectueux. Les exploits de code et les attaques de prêt flash – un type d’exploit de code impliquant la manipulation des prix des crypto-monnaies – ont représenté une grande partie de la valeur volée en dehors du Ronin attaque », ont déclaré les chercheurs.