Blog

May 24, 2023

Le groupe nord-coréen Lazarus lié au braquage du portefeuille atomique • The Register

Le gang criminel nord-coréen Lazarus Group a été accusé du week-end dernier

Le gang criminel nord-coréen Lazarus Group a été blâmé pour l'attaque du week-end dernier contre Atomic Wallet qui a drainé au moins 35 millions de dollars en crypto-monnaie de comptes privés.

Les similitudes entre l'attaque Atomic Wallet et les braquages ​​numériques précédents ont donné à la société d'analyse de blockchain Elliptic un "niveau élevé de confiance" dans la dénomination du groupe notoire, a déclaré la tenue dans un rapport.

"Nous avons identifié un grand nombre de portefeuilles de victimes, permettant de retracer les fonds volés dans notre logiciel", ont écrit les détectives d'Elliptic. "Les échanges et autres entreprises de cryptographie utilisant les outils d'Elliptic peuvent identifier tous les dépôts provenant du piratage. Notre équipe d'enquêtes suit également la piste des transactions."

Atomic Wallet est une application permettant de gérer la crypto-monnaie sur Windows, macOS et certaines distributions Linux, ainsi que sur les appareils Android et iOS. Le week-end dernier, un nombre inconnu des cinq millions d'utilisateurs d'Atomic Wallet, dont le siège social est en Estonie, a découvert que tout ou partie de la cryptographie de leurs portefeuilles avait été supprimée. Certains ont dit avoir perdu toutes leurs économies.

Atomic Wallet a peu parlé des détails de l'attaque, mais le détective en chaîne autoproclamé ZachXBT a suggéré que les pertes pourraient s'élever à plus de 35 millions de dollars. Le fabricant de l'application a également offert publiquement aux attaquants 10 % des fonds en échange de 90 % de la crypto-monnaie restituée./p>

Les chercheurs d'Elliptic ont déclaré qu'en suivant une partie de la crypto volée, ils ont pu collecter des informations sur la façon dont elle a été manipulée et blanchie, la piste d'audit pointant vers le groupe Lazarus.

"Le blanchiment des crypto-actifs volés suit une série d'étapes qui correspondent exactement à celles utilisées pour blanchir le produit des piratages antérieurs perpétrés par le groupe Lazarus", ont écrit les chercheurs.

Les chercheurs ont ajouté que "les actifs volés sont blanchis à l'aide de services spécifiques, y compris le mélangeur Sinbad, qui ont également été utilisés pour blanchir le produit des piratages antérieurs perpétrés par le groupe Lazarus". De plus, les actifs volés ont été mêlés à des portefeuilles qui contiennent également de la crypto-monnaie volée lors d'attaques précédentes du groupe Lazarus.

Elliptic, et d'autres, ont précédemment lié le gang criminel au vol de 620 millions de dollars en crypto-actifs d'une plate-forme de financement décentralisé (DeFi) utilisée par le jeu vidéo Axie Infinity et son développeur, Sky Mavis. On pense également que Lazarus est responsable du braquage de 100 millions de dollars à Horizon Bridge, un service inter-chaînes utilisé pour transférer des actifs entre la blockchain du développeur Horizon Harmony et d'autres blockchains.

Si l'attaque Atomic Wallet a été lancée par les Nord-Coréens – et rappelez-vous, Elliptic a un "niveau de confiance élevé", ce sera le premier vol majeur de crypto attribué au groupe depuis le braquage d'Harmony. Cela signifierait également que les fonds ne reviennent pas, puisque Pyongyang se moque des tentatives d'arrestation de ses agents.

Elliptic associant le mélangeur Sinbad au portefeuille atomique est un signe révélateur de l'implication du groupe Lazarus. Ces mélangeurs – ou gobelets cryptographiques – sont des outils clés utilisés pour blanchir les gains mal acquis provenant de vols ou de paiements de rançon. Les services permettent aux utilisateurs de déposer des actifs numériques qui vont dans un pool. Les utilisateurs peuvent ensuite retirer des actifs de la même valeur qu'ils ont déposés, le digi-cash étant envoyé à de nouvelles adresses difficiles à suivre ou à associer au déposant.

Les mélangeurs cryptographiques sont des outils légitimes qui peuvent être utilisés à des fins illégitimes. Chainalysis, une société de blockchain engagée par Atomic Wallet pour retracer les fonds volés et travailler avec les forces de l'ordre et les échanges cryptographiques, a constaté que près de 10 % des cryptos détenues par des malfaiteurs étaient passées par un mélangeur en 2022.

À la suite des sanctions du gouvernement américain contre Blender et Tornado Cash – deux des meilleurs mélangeurs connus pour aider les attaquants à blanchir des fonds volés – un nouveau mélangeur nommé Sinbad est apparu, Elliptic suggérant plus tôt cette année qu'il s'agissait probablement d'un redémarrage de Blender.

Blender, accusé par les États-Unis d'avoir aidé le groupe Lazarus à blanchir des centaines de millions de dollars d'actifs numériques volés, a fermé ses portes en avril 2022. Sinbad est entré en scène environ six mois plus tard.

Les mélangeurs rendent difficile le suivi de la crypto volée, mais les agences gouvernementales et les sociétés d'analyse de la chaîne de blocs s'améliorent pour naviguer dans le monde sombre des cybercriminels et des mélangeurs de crypto. En septembre 2022, des enquêteurs américains ont récupéré 30 millions de dollars volés lors de l'attaque d'Axie Infinity.

Enquêter sur les saisies d'argent comme Atomic Wallet et récupérer autant de cryptos volées est important non seulement pour les restituer aux victimes, mais aussi pour les garder hors des mains des dirigeants nord-coréens, qui utilisent une grande partie de l'argent volé par le groupe Lazarus et d'autres. pour financer les programmes militaires et nucléaires du pays. ®

Envoyez-nous des nouvelles