Le célèbre groupe de piratage nord-coréen connu sous le nom de Lazarus a été lié au récent piratage d’Atomic Wallet, entraînant le vol de plus de 35 millions de dollars en crypto.
Cette attribution provient des experts en blockchain d’Elliptic, qui ont suivi les fonds volés et leurs mouvements à travers les portefeuilles, les mélangeurs et d’autres voies de blanchiment.
L’attaque contre Atomic Wallet s’est produite le week-end dernier lorsque de nombreux utilisateurs ont signalé que leurs portefeuilles avaient été compromis et que leurs fonds avaient été volés.
Alors que l’enquête sur l’incident était en cours, le crypto-analyste ZachXBT a calculé les pertes à plus de 35 millions de dollars, la plus grande victime ayant perdu près de 10 % du total volé.
Hier, Elliptic a rapporté que son analyse désigne le groupe Lazarus comme les acteurs de la menace responsables de l’attaque, ce qui en fait le premier braquage cryptographique majeur des hackers pour 2023.
L’année dernière, le FBI a attribué à Lazarus le piratage du Harmony Horizon Bridge en juin 2022, qui a entraîné le vol de 100 millions de dollars, ainsi que le piratage en mars 2022 d’Axie Infinity, dont les Nord-Coréens ont siphonné 620 millions de dollars en crypto.
La dernière attaque contre Atomic Wallet montre que les acteurs de la menace restent concentrés sur des objectifs monétaires, qui, selon les experts, sont directement utilisés pour financer le programme de développement d’armes de la Corée du Nord.
« Chez Elliptic, nous avons identifié un grand nombre de portefeuilles victimes, permettant de retracer les fonds volés dans notre logiciel », lit-on dans le rapport d’Elliptic’sElliptic.
« Notre analyse des transactions du voleur nous amène à attribuer ce piratage au groupe nord-coréen Lazarus, avec un niveau de confiance élevé. »
Traçage des transactions
La première preuve pointant vers le groupe Lazarus est la stratégie de blanchiment observée, qui correspond aux modèles observés lors d’attaques précédentes par l’acteur de menace particulier.
Le deuxième élément d’attribution utilise le mélangeur Sinbad pour blanchir les fonds volés, que le groupe de menaces a également utilisé dans le piratage Harmony Horizon Bridge.
Elliptic a précédemment déclaré que les pirates nord-coréens avaient passé des dizaines de millions de dollars via Sinbad, démontrant ainsi leur confiance dans le nouveau mélangeur.
La troisième et la plus importante preuve de l’implication de Lazarus dans le piratage du portefeuille atomique est que des parties substantielles de la crypto-monnaie volée se sont retrouvées dans des portefeuilles qui détiennent le produit des piratages précédents de Lazarus et sont supposés appartenir aux membres du groupe.
Comme l’ont montré les attaques de l’année dernière, le vol réussi de crypto-monnaie n’atteint que la moitié de l’objectif.
La montée en puissance des sociétés de surveillance de la blockchain, associée aux capacités renforcées des forces de l’ordre, a considérablement compliqué le processus de blanchiment et, par la suite, l’encaissement des actifs volés.
Alors que les victimes notifient les échanges d’adresses de portefeuille contenant des fonds volés, les empêchant d’être échangés contre d’autres crypto ou fiat, cela amène les pirates à se tourner vers des échanges moins scrupuleux qui prennent une lourde commission pour blanchir l’argent.