Le département du Trésor américain a impliqué le groupe Lazarus soutenu par la Corée du Nord (alias Hidden Cobra) dans le vol de 540 millions de dollars du jeu vidéo Ronin Network d’Axie Infinity le mois dernier.

Jeudi, le Trésor a lié l’adresse du portefeuille Ethereum qui a reçu les fonds volés à l’acteur menaçant et a sanctionné les fonds en ajoutant l’adresse à la liste des ressortissants spécialement désignés (SDN) de l’Office of Foreign Assets Control (OFAC).

« Le FBI, en coordination avec le Trésor et d’autres partenaires du gouvernement américain, continuera d’exposer et de combattre l’utilisation par la RPDC d’activités illicites – y compris la cybercriminalité et le vol de crypto-monnaie – pour générer des revenus pour le régime », a déclaré l’agence de renseignement et d’application de la loi dans un communiqué. déclaration.

Le braquage de crypto-monnaie, le deuxième plus grand vol cybernétique à ce jour, impliquait le siphonnage de 173 600 Ether (ETH) et de 25,5 millions de pièces USD du pont inter-chaînes Ronin, qui permet aux utilisateurs de transférer leurs actifs numériques d’un réseau crypto à un autre, le 23 mars 2022.

« L’attaquant a utilisé des clés privées piratées afin de falsifier de faux retraits », a expliqué le réseau Ronin dans son rapport de divulgation une semaine plus tard après la révélation de l’incident.

Les sanctions interdisent aux personnes et entités américaines d’effectuer des transactions avec l’adresse en question pour s’assurer que le groupe parrainé par l’État ne peut plus retirer de fonds. Une analyse d’Elliptic a révélé que l’acteur avait réussi à blanchir 18% des fonds numériques détournés (environ 97 millions de dollars) au 14 avril.

« Tout d’abord, l’USDC volé a été échangé contre des ETH via des échanges décentralisés (DEX) pour éviter qu’il ne soit saisi », a noté Elliptic. « En convertissant les jetons sur les DEX, le pirate informatique a évité les contrôles anti-blanchiment d’argent (AML) et « connaissez votre client » (KYC) effectués sur les échanges centralisés. »

Près de 80,3 millions de dollars des fonds blanchis ont impliqué l’utilisation de Tornado Cash, un service de mixage sur la blockchain Ethereum conçu pour masquer la piste des fonds, avec 9,7 millions de dollars supplémentaires d’ETH susceptibles d’être blanchis de la même manière.

Lazarus Group, un nom générique attribué à des acteurs prolifiques parrainés par l’État opérant au nom d’intérêts stratégiques nord-coréens, a des antécédents de vols de crypto-monnaie depuis au moins 2017 pour contourner les sanctions et financer les programmes nucléaires et de missiles balistiques du pays.

« On pense que les opérations d’espionnage du pays reflètent les préoccupations et les priorités immédiates du régime, qui se concentre actuellement probablement sur l’acquisition de ressources financières par le biais de cambriolages cryptographiques, le ciblage des médias, des nouvelles et des entités politiques, [et] des informations sur les relations étrangères et le nucléaire. informations », a souligné Mandiant lors d’une récente analyse approfondie.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a dépeint les cyberacteurs comme un groupe de plus en plus sophistiqué qui a développé et déployé une large gamme d’outils malveillants dans le monde entier pour faciliter ces activités.

Le groupe est connu pour avoir pillé environ 400 millions de dollars d’actifs numériques à partir de plateformes de cryptographie en 2021, marquant un bond de 40 % par rapport à 2020, selon Chainalysis, qui a découvert que « seulement 20 % des fonds volés étaient du Bitcoin, [et que] Ether représentait la majorité des fonds volés à 58%. » Malgré les sanctions imposées par le gouvernement américain au collectif de piratage, les récentes campagnes entreprises par le groupe ont capitalisé sur les applications de portefeuille de financement décentralisé (DeFi) cheval de Troie pour détourner les systèmes Windows et détourner les fonds d’utilisateurs sans méfiance. Ce n’est pas tout. Dans une autre cyber-offensive révélée par Broadcom Symantec cette semaine, l’acteur a été observé ciblant des organisations sud-coréennes opérant dans le secteur chimique dans ce qui semble être la continuation d’une campagne de logiciels malveillants baptisée « Operation Dream Job », corroborant les conclusions du groupe d’analyse des menaces de Google. en mars 2022. Les intrusions, détectées plus tôt en janvier, ont commencé par un fichier HTM suspect reçu sous forme de lien dans un e-mail de phishing ou téléchargé sur Internet qui, lorsqu’il est ouvert, déclenche une séquence d’infection, conduisant finalement à la récupération d’une charge utile de deuxième étape à partir de un serveur distant pour faciliter d’autres incursions. L’objectif des attaques, a estimé Symantec, est « d’obtenir la propriété intellectuelle pour faire avancer les propres poursuites de la Corée du Nord dans ce domaine ». L’assaut continu d’activités illicites perpétrées par le groupe Lazarus a également conduit le département d’État américain à annoncer une récompense de 5 millions de dollars pour « les informations qui conduisent à la perturbation des mécanismes financiers des personnes engagées dans certaines activités qui soutiennent la Corée du Nord ». Cette évolution survient quelques jours après qu’un tribunal américain de New York a condamné Virgil Griffith, un ancien développeur d’Ethereum de 39 ans, à cinq ans et trois mois de prison pour avoir aidé la Corée du Nord à utiliser des monnaies virtuelles pour échapper aux sanctions. Pour aggraver les choses, des acteurs malveillants ont dérobé 1,3 milliard de dollars de crypto-monnaie au cours des trois premiers mois de 2022 seulement, contre 3,2 milliards de dollars qui ont été pillés pendant toute l’année 2021, indiquant une « augmentation fulgurante » des vols sur les plateformes de cryptographie. « Près de 97% de toutes les crypto-monnaies volées au cours des trois premiers mois de 2022 ont été prélevées sur les protocoles DeFi, contre 72% en 2021 et seulement 30% en 2020 », a déclaré Chainalysis dans un rapport publié cette semaine. « Pour les protocoles DeFi en particulier, cependant, les vols les plus importants sont généralement dus à un code défectueux. Les exploits de code et les attaques de prêt flash – un type d’exploit de code impliquant la manipulation des prix des crypto-monnaies – ont représenté une grande partie de la valeur volée en dehors du Ronin attaque, »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *