Comment les hackers nord-coréens derrière WannaCry se sont enfuis avec un incroyable casse crypto

Le dirigeant nord-coréen Kim Jong Un inspecte l

Le dirigeant nord-coréen Kim Jong Un inspecte l'état de préparation au combat des chasseurs de l'unité 1017 de la Force aérienne et antiaérienne de l'Armée populaire coréenne, dans un lieu inconnu en Corée du Nord. Presse associée





Les cyberattaques menées contre les bourses de crypto-monnaie sont désormais courantes, mais le vol d'un peu plus de 7 millions de dollars de la bourse DragonEx basée à Singapour en mars dernier se démarque pour au moins trois raisons.

Il y a d'abord le système de phishing extrêmement élaboré dans lequel les attaquants s'introduisaient, qui impliquait non seulement de faux sites Web, mais également de faux robots de crypto-trading. Ensuite, ils ont blanchi le crypto-argent qu'ils ont volé. Dernier point mais non le moindre : ils semblent avoir travaillé pour Kim Jong-un.

Le braquage, dont de nouveaux détails ont été récemment publié par la société d'analyse blockchain Chainalysis, montre à quel point les voleurs de banques numériques d'aujourd'hui sont devenus bons. Et si ceci et d'autres rapports ont raison de désigner les pirates nord-coréens comme les auteurs, cela semble faire partie d'une stratégie de survie plus large du régime de Kim, qui a été coupé du système financier mondial par des sanctions économiques internationales destinées à réduire son programme d'armes nucléaires.



DragonEx n'a pas été le premier échange cryptographique à être victime de ce groupe de hackers particulier, que certains analystes de la sécurité appellent le groupe Lazarus. Le groupe cible l'industrie depuis au moins 2017, dans le cadre d'une campagne plus large axée sur les institutions financières. En août, un groupe d'experts indépendants a rapporté aux Nations Unies que la Corée du Nord a généré environ 2 milliards de dollars pour son programme de missiles en utilisant des cyberattaques généralisées et de plus en plus sophistiquées pour voler des banques et des échanges de crypto-monnaie. L'utilisation par le régime de la crypto-monnaie pour échapper aux sanctions est à l'origine d'un récent avertissement du même groupe d'experts de l'ONU de ne pas assister à une prochaine conférence sur la blockchain à Pyongyang.

On pense généralement que le groupe Lazarus est à l'origine de plusieurs piratages qui ont fait la une des journaux, notamment la violation de Sony Pictures en 2014 et le piratage du rançongiciel WannaCry en 2017, qui a touché des centaines de milliers d'ordinateurs dans 150 pays. Mais c'est son vol de 81 millions de dollars à la banque centrale du Bangladesh en 2016 qui a préfiguré son éventuel ciblage des échanges cryptographiques. Selon le FBI , les attaquants ont passé plus d'un an à effectuer des reconnaissances avant d'accéder au système informatique de la banque via une campagne de phishing élaborée.

En proie à une sécurité laxiste, l'écosystème de la crypto-monnaie était une cible facile pour les pirates nord-coréens, qui avaient déjà de l'expérience dans la poursuite d'institutions financières, déclare Priscille Moriuchi , responsable de la recherche sur les États-nations chez Recorded Future, une société de cybersécurité. Ils sont bien plus capables qu'on ne le croit, en particulier du côté de la criminalité financière, dit Moriuchi.



Pour compromettre DragonEx, Lazarus a créé une fausse entreprise qui a annoncé un robot de trading automatisé de crypto-monnaie appelé Worldbit-bot, dit Analyse en chaîne . L'entreprise inventée avait un site Web et ses employés inventés étaient même présents sur les réseaux sociaux. Lorsqu'ils ont proposé un essai gratuit du logiciel de trading aux employés de DragonEx, quelqu'un a mordu, téléchargeant des logiciels malveillants sur un ordinateur qui détenait les clés privées des portefeuilles de la bourse.

Dans recherche publiée plus tôt ce mois-ci, Kaspersky décrit un autre des stratagèmes récents du groupe Lazarus, qui visait également apparemment les entreprises de crypto-monnaie. Dans ce cas, les attaquants ont créé de fausses entreprises, puis ont incité des cibles à télécharger des logiciels malveillants à l'aide de l'application de messagerie populaire Telegram.

Cependant, il ne suffit pas d'entrer par effraction et de voler de l'argent. Ils doivent encaisser. Au cours de la dernière année, le groupe Lazarus a complètement repensé sa façon de procéder, selon Chainalysis. L'année dernière, il est apparu assez peu sophistiqué dans ses techniques de blanchiment d'argent, laissant généralement les fonds volés reposer pendant 12 à 18 mois avant de les encaisser en utilisant un échange qui ne garde pas la trace de ses clients. (Les échanges de crypto-monnaie dans la plupart des juridictions sont tenus de garder une trace de l'identité de leurs clients, exactement pour cette raison.)



La façon dont le groupe a déplacé son argent après le piratage de DragonEx en mars dernier était apparemment beaucoup plus sophistiquée. Ils ont utilisé de nombreuses autres étapes intermédiaires, y compris des échanges et une variété de portefeuilles numériques. Les pièces se sont retrouvées dans un type spécial de portefeuille qui utilise une technologie de confidentialité compatible Bitcoin appelée CoinJoin, qui combine les transactions de plusieurs utilisateurs d'une manière qui rend difficile de dire qui a envoyé quel paiement à quel destinataire. Et les pirates ont encaissé plus rapidement : presque tous les fonds ont été transférés aux services de liquidation dans les 60 jours, selon Chainalysis.

Les nouvelles méthodes améliorées des pirates nord-coréens en disent peut-être moins sur leurs propres capacités que sur les outils de blanchiment d'argent désormais disponibles dans le monde de la cryptographie. La responsable de la recherche de Chainalysis, Kim Grauer, déclare qu'en 2019, son équipe a remarqué une forte augmentation de l'infrastructure de blanchiment avancée à laquelle diverses organisations criminelles peuvent en quelque sorte se connecter. En d'autres termes, même les criminels qui ne connaissent pas les chaînes de blocs peuvent avoir facilement accès à des méthodes sophistiquées pour couvrir leurs traces après avoir volé votre crypto. Quoi qu'il en soit, tant que les échanges auront des failles de sécurité, des groupes comme Lazarus continueront à les voler.

cacher