Les États-Unis traquent les pirates nord-coréens qui ont volé plus de 2,67 millions de dollars en cryptomonnaie. Le 4 octobre, le gouvernement a déposé deux plaintes pour saisir cette cryptomonnaie volée.
Le but ? Le tristement célèbre groupe Lazarus, une équipe de hackers liée au gouvernement nord-coréen. Les fonds en question ont été volés lors de deux grands braquages de crypto-monnaie.
1,7 million de dollars en USDT provenant du piratage Deribit de 2022 et 970 000 dollars en Bitcoin ponté par avalanche (BTC.b) de Stake.com en 2023.
La tradition de Lazare
Le groupe Lazarus pirate des entreprises et vole des millions depuis au moins 2009.
Tout a commencé avec des attaques très médiatisées comme le piratage de Sony Pictures en 2014 et le vol de la banque du Bangladesh en 2016. Aujourd'hui, l'accent est mis sur les crypto-monnaies.
Les analystes estiment que le groupe a pris entre 3 et 4,1 milliards de dollars auprès des sociétés de cryptographie depuis 2017.
Le hack de Deribit était un classique du groupe Lazarus. Il a piraté un portefeuille chaud et volé 28 millions de dollars en crypto-monnaies. Après avoir récupéré les fonds, il a utilisé Tornado Cash pour brouiller les pistes.
Le groupe Lazarus a ensuite déplacé la crypto-monnaie via plusieurs adresses Ethereum pour rendre les choses encore plus difficiles à suivre.
Même si le groupe a utilisé plusieurs mixeurs et adresses, les forces de l'ordre sont restées à leurs trousses. Ils veulent maintenant récupérer au moins 1,7 million de dollars d’USDT volé.
Suivre l’historique du vol de crypto-monnaie
Lazarus Group, également connu sous le nom d'APT38 ou Bluenoroff, est connu pour ses cyberattaques et ses vols de cryptomonnaies. Le groupe est hautement qualifié, avec des outils adaptés à chaque cible.
Ce qui est choquant, c'est l'ampleur des opérations du groupe. Les rapports de sociétés d’analyse comme Chainalysis et TRM Labs montrent l’ampleur des dégâts causés par les pirates.
On estime que Lazarus a volé entre 3 et 4,1 milliards de dollars depuis 2017, principalement dans le cadre d’échanges. En août 2023, ils ont pris le contrôle du portefeuille de distribution de Steadefi et ont drainé 1,2 million de dollars en crypto-monnaies.
Cette attaque représentait le meilleur de l’ingénierie sociale. Un membre de l'équipe Steadefi a téléchargé un fichier malveillant provenant d'une personne se faisant passer pour un gestionnaire de fonds sur Telegram.
Lors d'une autre attaque, la plateforme Coinshift a perdu plus de 900 000 $ en Ethereum (ETH), et tout comme avec Deribit, Steadefi et les autres, les pirates ont blanchi la cryptomonnaie volée via Tornado Cash.
Ce qui est encore plus intéressant, c'est la vitesse à laquelle ils opèrent. Le 23 août, les attaquants des piratages Steadefi et Coinshift ont effectué des dépôts dans le pool Tornado Cash 100 ETH à quelques minutes d'intervalle.
Une fois les fonds convertis en pièces stables, les pirates de Lazarus utilisent des échanges peer-to-peer (P2P) pour transformer les crypto-monnaies volées en espèces.
Paxful et Noones, deux plateformes P2P populaires, ont joué un rôle clé dans leur processus. Selon des plaintes américaines, l'adresse de dépôt Paxful du groupe Lazarus (0x2465) a été impliquée dans de nombreuses attaques de piratage, notamment celles contre EasyFi, Bondly et Nexus Mutual.
En réponse à ces piratages, plusieurs mesures ont été prises pour bloquer les fonds volés. En novembre 2023, Tether a mis sur liste noire 374 000 $ en USDT liés à Lazarus.
Dans le même temps, d’autres échanges centralisés ont gelé un montant non divulgué de crypto-monnaies. Au quatrième trimestre 2023, trois des quatre principaux émetteurs de stablecoins avaient mis sur liste noire un total de 3,4 millions de dollars liés à Lazarus.
Cependant, malgré ces efforts, Lazarus continue d’évoluer et de s’adapter, devenant ainsi une menace persistante pour l’industrie.