Elliptic, une société de renseignement blockchain, a déclaré mardi dans un article de blog que les utilisateurs d'Atomic Wallet pourraient avoir été victimes de Lazarus, le célèbre groupe criminel nord-coréen. Des fonds illégaux provenant du piratage d'Atomic Wallet de 35 millions de dollars auraient été transférés à un agrégateur de crypto-monnaie favorisé par le groupe de cyberpiratage le plus notoire de Corée du Nord.
La terreur financière du groupe Lazarus frappe durement l'industrie de la crypto-monnaie
Lazarus Group est une organisation nord-coréenne de cybercriminalité connue pour ses cyber-exploits et accusée de nombreuses attaques depuis 2010. L'entité serait financée par le gouvernement nord-coréen et se composerait d'un nombre inconnu de pirates informatiques. Il a lancé un nombre croissant d'attaques à travers ses différents sous-groupes, dont StoneFly, AndAriel et BlueNoroff.
Depuis 2017, lorsqu'il a attaqué des investisseurs sud-coréens en crypto-monnaie avec des participations dans Bitcoin et Monero, le groupe criminel terrorise la communauté des crypto-monnaies en utilisant des moyens autonomes pour distribuer de nouveaux types de virus informatiques qui révèlent des failles dans des systèmes logiciels bien connus. Auparavant, Lazarus Group était connu pour mener des campagnes de cyberespionnage contre des entités gouvernementales sud-coréennes par le biais d'attaques par déni de service distribuées.
Lazarus Group a également utilisé le réseau SWIFT pour entreprendre des attaques contre des organisations mondiales telles que Sony et des institutions bancaires, ainsi qu'une attaque de ransomware à grande échelle affectant des milliers de machines dans des pays comme la Russie, l'Inde, Taïwan et l'Ukraine. Au cours de la pandémie de COVID-19 fin 2020, le groupe criminel a utilisé des techniques de harponnage pour pénétrer dans les ordinateurs et voler des recherches exclusives sur le COVID-19.
Le groupe a lancé 2022 avec un hold-up de 600 millions de dollars sur Ronin, le protocole de blockchain associé au jeu de crypto-monnaie populaire Axie Infinity. Le groupe Lazarus a été lié à un nouveau type de piratage cryptographique, faisant la promotion de fausses applications cryptographiques sous la marque BloxHolder pour diffuser les logiciels malveillants AppleJeus et voler des fonds cryptographiques. Le groupe est responsable de plus de 25 attaques notables.
Atomic Wallet subit des pertes face aux cybercriminels
L'équipe derrière Atomic Wallet, un portefeuille cryptographique non dépositaire, a annoncé tôt samedi matin que certains utilisateurs avaient leurs portefeuilles compromis et des fonds volés. Le nombre d'incidents n'aurait pas dépassé 1% des "utilisateurs actifs mensuels". L'annonce faisait suite à de nombreuses plaintes sur Reddit d'utilisateurs dont les portefeuilles avaient été vidés.
ZachXBT, un détective pseudonyme de la blockchain, a estimé qu'environ 35 millions de dollars de crypto-monnaies avaient été volées, notamment du bitcoin, de l'éther, du tether, du dogecoin, du litecoin, de la pièce BNB, du polygone et de l'USDT basé sur Tron.
Elliptic a écrit que le cryptage volé avait été transféré vers un mélangeur appelé Sindbad.io. Ce mélangeur, qui, selon Elliptic, est le successeur du mélangeur Blender.io précédemment sanctionné, a souvent été utilisé pour blanchir l'argent d'autres hacks attribués à Lazarus, selon Elliptic , qui a noté que le modèle d'utilisation est identique. Selon le billet de blog, la société a également découvert des liens entre les portefeuilles contenant les fonds atomiques volés et certaines des violations de Lazarus.
Les portefeuilles non dépositaires, tels qu'Atomic, permettent aux utilisateurs de stocker leur crypto par eux-mêmes, sans dépendre d'une entité centralisée, ce qui signifie que si les utilisateurs perdent leur appareil ou le mot de passe de leur portefeuille, ils peuvent récupérer les fonds uniquement en utilisant la phrase de départ. En revanche, toute personne ayant accès à la phrase de départ peut cloner le portefeuille et voler les fonds.
Il y a trois heures, Elliptic Investigations a mis à jour que les fonds de piratage d'Atomic Wallet venaient d'être échangés contre de l'USDT et liés à TRON.
Les actifs cryptographiques volés ont probablement été mélangés dans des portefeuilles contenant le produit des attaques précédentes du groupe Lazarus. Il s'agirait du premier vol de cryptographie majeur ouvertement attribué au groupe Lazarus depuis la violation de 100 millions de dollars d'Horizon Bridge en juin 2022.