Analyse des attaques par chiffrement et des méthodes de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus Group
Un rapport secret des Nations Unies révèle que le groupe de hackers nord-coréen Lazarus Group a volé des fonds d'une plateforme d'échange de Cryptoactifs l'année dernière et a blanchi 1,475 milliard de dollars en mars de cette année via une certaine plateforme de jetons.
Les enquêteurs du Comité des sanctions du Conseil de sécurité des Nations Unies examinent 97 cyberattaques présumées menées par des hackers nord-coréens contre des entreprises de cryptoactifs entre 2017 et 2024, impliquant un montant d'environ 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par une plateforme d'échange de cryptoactifs à la fin de l'année dernière, fonds qui ont ensuite été blanchis en mars de cette année.
En 2022, les États-Unis ont imposé des sanctions à cette plateforme de cryptoactifs. L'année suivante, deux cofondateurs de la plateforme ont été accusés d'avoir aidé à blanchir plus d'un milliard de dollars, impliquant des organisations criminelles en ligne liées à la Corée du Nord, le groupe Lazarus.
Une étude d'un expert en enquête sur les cryptoactifs montre que le groupe Lazarus a converti des cryptoactifs d'une valeur de 200 millions de dollars en monnaie fiduciaire entre août 2020 et octobre 2023.
Le groupe Lazarus a longtemps été accusé de mener des cyberattaques massives et des crimes financiers. Leur cible est variée, incluant les systèmes bancaires, les échanges de cryptoactifs, les agences gouvernementales et les entreprises privées. Nous allons analyser ci-dessous quelques cas d'attaques typiques, révélant comment le groupe Lazarus met en œuvre ces attaques à travers des stratégies complexes et des techniques.
Les attaques d'ingénierie sociale et de phishing du groupe Lazarus
Selon des médias européens, Lazarus a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses offres d'emploi sur des plateformes sociales pour inciter les employés à télécharger des PDF contenant des fichiers exécutables malveillants, afin de mener des attaques de phishing.
Ce type d'attaque cherche à exploiter la manipulation psychologique pour inciter les victimes à baisser leur garde et à effectuer des opérations dangereuses telles que cliquer sur des liens ou télécharger des fichiers. Leur logiciel malveillant peut cibler les vulnérabilités dans les systèmes des victimes et voler des informations sensibles.
Lors d'une attaque de six mois contre un fournisseur de paiement en cryptoactifs, Lazarus a utilisé une méthode similaire, ce qui a entraîné le vol de 37 millions de dollars pour l'entreprise. Tout au long du processus, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques techniques telles que des attaques par déni de service distribué, et ont tenté plusieurs mots de passe possibles pour des attaques par force brute.
Plusieurs attaques contre des cryptoactifs
Entre août et octobre 2020, plusieurs échanges de Cryptoactifs et projets ont été attaqués :
Le 24 août 2020, le portefeuille d'une certaine plateforme de cryptoactifs canadienne a été volé.
Le 11 septembre 2020, un projet a subi une fuite de clé privée, entraînant des transferts non autorisés de 400 000 $ depuis plusieurs portefeuilles contrôlés par l'équipe.
Le 6 octobre 2020, un portefeuille chaud d'une plateforme de trading a transféré sans autorisation des actifs crypto d'une valeur de 750 000 dollars en raison d'une vulnérabilité de sécurité.
Ces événements d'attaque ont vu des fonds se rassembler sur la même adresse au début de 2021. Par la suite, les hackers ont déposé une grande quantité d'ETH via un service de mélange de jetons et ont effectué des retraits successifs au cours des jours suivants. En 2023, ces fonds, après de multiples transferts et échanges, ont finalement été rassemblés sur une adresse de retrait pour d'autres fonds issus d'événements de sécurité.
Le fondateur d'un projet d'assurance a été attaqué par un Hacker
Le 14 décembre 2020, le fondateur d'un projet d'assurance a été victime d'une attaque de hacker, entraînant une perte de 370 000 NXM (environ 8,3 millions de dollars). L'attaquant a transféré et échangé les fonds volés via plusieurs adresses, réalisant des opérations de blanchiment de capitaux, de dispersion et de concentration des fonds. Une partie des fonds a été transférée sur le réseau Bitcoin via une chaîne croisée, puis renvoyée sur le réseau Ethereum, avant d'être mélangée via une plateforme de mixage, et enfin envoyée à une plateforme de retrait.
Du 16 au 20 décembre 2020, une adresse de hacker a envoyé plus de 2500 ETH à un service de mélange. Quelques heures plus tard, une autre adresse liée a commencé les opérations de retrait.
De mai à juillet 2021, les hackers ont transféré 11 millions de USDT vers l'adresse de dépôt d'une plateforme d'échange. De février à juin 2023, les hackers ont à nouveau envoyé plus de 11 millions de USDT à deux adresses de dépôt de plateformes d'échange différentes via des adresses différentes.
Récents incidents d'attaque
En août 2023, deux nouvelles attaques ont eu lieu, impliquant le vol de 624 jetons ETH et 900 jetons ETH. Ces fonds volés ont été transférés vers un service de mélange. Par la suite, les fonds ont été retirés vers plusieurs nouvelles adresses et, le 12 octobre 2023, ils ont été regroupés en une seule adresse.
En novembre 2023, cette adresse unifiée a commencé à transférer des fonds, qui ont finalement été envoyés aux adresses de dépôt de deux plateformes d'échange principales par le biais de transferts et d'échanges.
Résumé
Le modèle de blanchiment de capitaux du groupe Lazarus présente certaines régularités : après avoir volé des cryptoactifs, ils confondent principalement la source des fonds en effectuant des échanges inter-chaînes répétés et en utilisant des services de mélange de jetons. Après la confusion, ils retirent les actifs vers des adresses cibles et les envoient à un groupe fixe d'adresses pour effectuer des opérations de retrait. Les cryptoactifs volés sont généralement déposés sur des adresses de dépôt de plateformes de trading spécifiques, puis échangés contre de la monnaie fiduciaire via des services de trading de gré à gré.
Face à l'attaque continue et à grande échelle du Lazarus Group, l'industrie Web3 fait face à de sérieux défis en matière de sécurité. Les agences concernées suivent de près les activités de ce groupe de hackers et poursuivent le suivi de ses méthodes de blanchiment de capitaux, afin d'aider les projets, les régulateurs et les autorités judiciaires à lutter contre ce type de crime et à récupérer les actifs volés.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 J'aime
Récompense
12
6
Partager
Commentaire
0/400
SelfStaking
· 07-02 10:51
Alors, qui oserait encore parier à la légère ?
Voir l'originalRépondre0
GasGuzzler
· 07-02 10:49
Ah ça... Les Coréens sont vraiment professionnels.
Voir l'originalRépondre0
MetamaskMechanic
· 07-02 10:47
Une opération de pro, ça se voit.
Voir l'originalRépondre0
RooftopReserver
· 07-02 10:45
3,6 milliards, amène-moi avec toi.
Voir l'originalRépondre0
SelfRugger
· 07-02 10:38
C'est vraiment devenu une situation où on appelle papa.
Le groupe de hackers nord-coréen Lazarus Group a volé 3,6 milliards de dollars : dévoilement des méthodes de blanchiment de capitaux.
Analyse des attaques par chiffrement et des méthodes de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus Group
Un rapport secret des Nations Unies révèle que le groupe de hackers nord-coréen Lazarus Group a volé des fonds d'une plateforme d'échange de Cryptoactifs l'année dernière et a blanchi 1,475 milliard de dollars en mars de cette année via une certaine plateforme de jetons.
Les enquêteurs du Comité des sanctions du Conseil de sécurité des Nations Unies examinent 97 cyberattaques présumées menées par des hackers nord-coréens contre des entreprises de cryptoactifs entre 2017 et 2024, impliquant un montant d'environ 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par une plateforme d'échange de cryptoactifs à la fin de l'année dernière, fonds qui ont ensuite été blanchis en mars de cette année.
En 2022, les États-Unis ont imposé des sanctions à cette plateforme de cryptoactifs. L'année suivante, deux cofondateurs de la plateforme ont été accusés d'avoir aidé à blanchir plus d'un milliard de dollars, impliquant des organisations criminelles en ligne liées à la Corée du Nord, le groupe Lazarus.
Une étude d'un expert en enquête sur les cryptoactifs montre que le groupe Lazarus a converti des cryptoactifs d'une valeur de 200 millions de dollars en monnaie fiduciaire entre août 2020 et octobre 2023.
Le groupe Lazarus a longtemps été accusé de mener des cyberattaques massives et des crimes financiers. Leur cible est variée, incluant les systèmes bancaires, les échanges de cryptoactifs, les agences gouvernementales et les entreprises privées. Nous allons analyser ci-dessous quelques cas d'attaques typiques, révélant comment le groupe Lazarus met en œuvre ces attaques à travers des stratégies complexes et des techniques.
Les attaques d'ingénierie sociale et de phishing du groupe Lazarus
Selon des médias européens, Lazarus a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses offres d'emploi sur des plateformes sociales pour inciter les employés à télécharger des PDF contenant des fichiers exécutables malveillants, afin de mener des attaques de phishing.
Ce type d'attaque cherche à exploiter la manipulation psychologique pour inciter les victimes à baisser leur garde et à effectuer des opérations dangereuses telles que cliquer sur des liens ou télécharger des fichiers. Leur logiciel malveillant peut cibler les vulnérabilités dans les systèmes des victimes et voler des informations sensibles.
Lors d'une attaque de six mois contre un fournisseur de paiement en cryptoactifs, Lazarus a utilisé une méthode similaire, ce qui a entraîné le vol de 37 millions de dollars pour l'entreprise. Tout au long du processus, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques techniques telles que des attaques par déni de service distribué, et ont tenté plusieurs mots de passe possibles pour des attaques par force brute.
Plusieurs attaques contre des cryptoactifs
Entre août et octobre 2020, plusieurs échanges de Cryptoactifs et projets ont été attaqués :
Ces événements d'attaque ont vu des fonds se rassembler sur la même adresse au début de 2021. Par la suite, les hackers ont déposé une grande quantité d'ETH via un service de mélange de jetons et ont effectué des retraits successifs au cours des jours suivants. En 2023, ces fonds, après de multiples transferts et échanges, ont finalement été rassemblés sur une adresse de retrait pour d'autres fonds issus d'événements de sécurité.
Le fondateur d'un projet d'assurance a été attaqué par un Hacker
Le 14 décembre 2020, le fondateur d'un projet d'assurance a été victime d'une attaque de hacker, entraînant une perte de 370 000 NXM (environ 8,3 millions de dollars). L'attaquant a transféré et échangé les fonds volés via plusieurs adresses, réalisant des opérations de blanchiment de capitaux, de dispersion et de concentration des fonds. Une partie des fonds a été transférée sur le réseau Bitcoin via une chaîne croisée, puis renvoyée sur le réseau Ethereum, avant d'être mélangée via une plateforme de mixage, et enfin envoyée à une plateforme de retrait.
Du 16 au 20 décembre 2020, une adresse de hacker a envoyé plus de 2500 ETH à un service de mélange. Quelques heures plus tard, une autre adresse liée a commencé les opérations de retrait.
De mai à juillet 2021, les hackers ont transféré 11 millions de USDT vers l'adresse de dépôt d'une plateforme d'échange. De février à juin 2023, les hackers ont à nouveau envoyé plus de 11 millions de USDT à deux adresses de dépôt de plateformes d'échange différentes via des adresses différentes.
Récents incidents d'attaque
En août 2023, deux nouvelles attaques ont eu lieu, impliquant le vol de 624 jetons ETH et 900 jetons ETH. Ces fonds volés ont été transférés vers un service de mélange. Par la suite, les fonds ont été retirés vers plusieurs nouvelles adresses et, le 12 octobre 2023, ils ont été regroupés en une seule adresse.
En novembre 2023, cette adresse unifiée a commencé à transférer des fonds, qui ont finalement été envoyés aux adresses de dépôt de deux plateformes d'échange principales par le biais de transferts et d'échanges.
Résumé
Le modèle de blanchiment de capitaux du groupe Lazarus présente certaines régularités : après avoir volé des cryptoactifs, ils confondent principalement la source des fonds en effectuant des échanges inter-chaînes répétés et en utilisant des services de mélange de jetons. Après la confusion, ils retirent les actifs vers des adresses cibles et les envoient à un groupe fixe d'adresses pour effectuer des opérations de retrait. Les cryptoactifs volés sont généralement déposés sur des adresses de dépôt de plateformes de trading spécifiques, puis échangés contre de la monnaie fiduciaire via des services de trading de gré à gré.
Face à l'attaque continue et à grande échelle du Lazarus Group, l'industrie Web3 fait face à de sérieux défis en matière de sécurité. Les agences concernées suivent de près les activités de ce groupe de hackers et poursuivent le suivi de ses méthodes de blanchiment de capitaux, afin d'aider les projets, les régulateurs et les autorités judiciaires à lutter contre ce type de crime et à récupérer les actifs volés.