Le groupe Lazarus derrière 540 millions de dollars de piratage Axie Infinity Crypto et d’attaques contre le secteur chimique

Le département du Trésor américain a impliqué le groupe Lazarus soutenu par la Corée du Nord (alias Hidden Cobra) dans le vol de 540 millions de dollars du réseau Ronin du jeu vidéo Axie Infinity le mois dernier.

Jeudi, le Trésor attaché l’Ethereum adresse de portefeuille qui a reçu les fonds volés à l’auteur de la menace et a sanctionné les fonds en ajoutant l’adresse aux ressortissants spécialement désignés de l’Office of Foreign Assets Control (OFAC) (SDN) Lister.

“Le FBI, en coordination avec le Trésor et d’autres partenaires du gouvernement américain, continuera d’exposer et de combattre l’utilisation par la RPDC d’activités illicites – y compris la cybercriminalité et le vol de crypto-monnaie – pour générer des revenus pour le régime”, a déclaré l’agence de renseignement et d’application de la loi. mentionné dans un rapport.

Le hold-up de la crypto-monnaie, le deuxième plus grand vol cybernétique à ce jour, impliquait le siphonnage de 173 600 Ether (ETH) et 25,5 millions de pièces USD du pont inter-chaînes Ronin, qui permet aux utilisateurs de transférer leurs actifs numériques d’un réseau cryptographique à un autre, le 23 mars 2022.

“L’attaquant a utilisé des clés privées piratées afin de falsifier de faux retraits”, a déclaré le réseau Ronin. expliqué Dans son rapport de divulgation une semaine plus tard après que l’incident a été révélé.

La cyber-sécurité

Les sanctions interdisent aux personnes et entités américaines d’effectuer des transactions avec l’adresse en question pour s’assurer que le groupe parrainé par l’État ne peut plus retirer de fonds. Une analyse d’Elliptic a révélé que l’acteur avait réussi à blanchir 18% des fonds numériques détournés (environ 97 millions de dollars) au 14 avril.

“Tout d’abord, l’USDC volé a été échangé contre des ETH via des échanges décentralisés (DEX) pour éviter qu’il ne soit saisi”, Elliptic Indiqué. “En convertissant les jetons sur les DEX, le pirate informatique a évité les contrôles anti-blanchiment d’argent (AML) et “connaissez votre client” (KYC) effectués sur les échanges centralisés.”

Près de 80,3 millions de dollars des fonds blanchis ont impliqué l’utilisation de Tornado Cash, un service de mixage sur la blockchain Ethereum conçu pour masquer la piste des fonds, avec 9,7 millions de dollars supplémentaires d’ETH susceptibles d’être blanchis de la même manière.

Groupe Lazarus, un nom de parapluie Affecté à des acteurs prolifiques parrainés par l’État au nom d’intérêts stratégiques nord-coréens, il a des antécédents de vols de crypto-monnaie depuis au moins 2017 pour contourner les sanctions et financer les programmes nucléaires et de missiles balistiques du pays.

“On pense que les opérations d’espionnage du pays reflètent les préoccupations et les priorités immédiates du régime, qui se concentrent probablement sur l’acquisition de ressources financières par le biais de cambriolages cryptographiques, le ciblage des médias, des informations et des entités politiques, [and] des informations sur les relations étrangères et des informations sur le nucléaire », a souligné Mandiant lors d’une récente analyse approfondie.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a peint les cyber-acteurs en tant que groupe avancé qui a développé et un large éventail d’outils à travers le monde pour faciliter ces activités.

Le groupe est connu pour avoir pillé une valeur estimée à 400 millions de dollars d’actifs numériques provenant de plates-formes cryptographiques en 2021, marquant un bond de 40% par rapport à 2020, selon Chainalysis, qui a constaté que “seulement 20% des fonds volés étaient du Bitcoin, [and that] Ether représentait la majorité des fonds volés à 58%.”

En dépit les sanctions imposées par le gouvernement américain au collectif de piratage, les récentes campagnes entreprises par le groupe ont en majuscule sur les applications de portefeuille de financement décentralisé (DeFi) cheval de Troie pour détourner les systèmes Windows et détourner les fonds d’utilisateurs sans méfiance.

Ce n’est pas tout. Dans une autre cyber-offensive révélée par Broadcom Symantec cette semaine, l’acteur a été observé Cibler des organisations sud-coréennes opérant dans le secteur chimique dans ce qui semble être la continuation d’une campagne de logiciels malveillants baptisée “Opération Emploi de Rêve“, corroborant les conclusions du groupe d’analyse des menaces de Google en mars 2022.

La cyber-sécurité

Les intrusions, détectées plus tôt en janvier, ont commencé par un fichier HTM suspect reçu sous forme de lien dans un e-mail de phishing ou téléchargé sur Internet qui, lorsqu’il est ouvert, déclenche une séquence d’infection, conduisant finalement à la récupération d’une charge utile de deuxième étape à partir de un serveur distant pour faciliter d’autres incursions.

L’objectif des attaques, a estimé Symantec, est “d’obtenir la propriété intellectuelle pour faire avancer les propres poursuites de la Corée du Nord dans ce domaine”.

L’assaut continu d’activités illicites perpétrées par le groupe Lazarus a également conduit le département d’État américain à annoncer une récompense de 5 millions de dollars pour “les informations qui conduisent à la perturbation des mécanismes financiers des personnes engagées dans certaines activités qui soutiennent la Corée du Nord”.

Le développement intervient quelques jours après un tribunal américain à New York jurer Virgil Griffith, un ancien développeur d’Ethereum de 39 ans, à cinq ans et trois mois de prison pour avoir aidé la Corée du Nord à utiliser des monnaies virtuelles pour échapper aux sanctions.

Pour aggraver les choses, des acteurs malveillants ont dérobé 1,3 milliard de dollars de crypto-monnaie au cours des trois premiers mois de 2022 seulement, contre 3,2 milliards de dollars qui ont été pillés pendant toute l’année 2021, indiquant une “augmentation fulgurante” des vols sur les plateformes de cryptographie.

“Près de 97% de toutes les crypto-monnaies volées au cours des trois premiers mois de 2022 ont été prises à partir des protocoles DeFi, contre 72% en 2021 et seulement 30% en 2020”, Chainalysis mentionné dans un rapport publié cette semaine.

“Pour les protocoles DeFi en particulier, cependant, les vols les plus importants sont généralement dus à un code défectueux. Les exploits de code et les attaques de prêt flash – un type d’exploit de code impliquant la manipulation des prix des crypto-monnaies – ont représenté une grande partie de la valeur volée en dehors du Ronin attaque », ont déclaré les chercheurs.

Leave a Comment