Analyse des méthodes d'attaque et de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus Group
Un rapport secret des Nations Unies révèle qu'un groupe de hackers a volé des fonds d'une bourse de cryptomonnaie l'année dernière et a blanchi 147,5 millions de dollars via une plateforme de cryptomonnaie en mars de cette année.
Les enquêteurs ont rapporté au Conseil de sécurité de l'ONU qu'ils enquêtaient sur 97 cyberattaques visant des entreprises de cryptomonnaie survenues entre 2017 et 2024, pour un montant total d'environ 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par une plateforme d'échange de cryptomonnaies à la fin de l'année dernière, fonds qui ont été blanchis en mars de cette année.
En 2022, les États-Unis ont imposé des sanctions à une plateforme de mixage de cryptomonnaies. L'année suivante, deux cofondateurs de cette plateforme ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, dont une partie des fonds était liée à une organisation criminelle en ligne.
Selon une enquête d'un analyste en cryptomonnaie, ce hacker a blanchi pour 200 millions de dollars de cryptomonnaie en monnaie fiduciaire entre août 2020 et octobre 2023.
Ce groupe de hackers est accusé depuis longtemps de mener des attaques informatiques à grande échelle et des crimes financiers. Leurs cibles sont réparties dans le monde entier, impliquant des systèmes bancaires, des échanges de cryptomonnaies, des agences gouvernementales et des entreprises privées. Ci-dessous, nous analyserons quelques cas typiques, révélant comment ce groupe met en œuvre ces attaques grâce à des stratégies complexes et des techniques avancées.
Ingénierie sociale et attaques par phishing
Selon des rapports, ce groupe de hackers a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses annonces de recrutement sur des plateformes sociales pour inciter les employés à télécharger des PDF contenant des fichiers exécutables malveillants, réalisant ainsi des attaques de phishing.
Cette méthode tente d'inciter les victimes à baisser leur garde par la manipulation psychologique, en les amenant à exécuter des opérations mettant en danger la sécurité, comme cliquer sur des liens ou télécharger des fichiers. Leur logiciel malveillant peut exploiter les vulnérabilités du système de la victime pour voler des informations sensibles.
Au cours d'une attaque de six mois contre un fournisseur de paiement en cryptomonnaie, un groupe de hackers a utilisé des méthodes similaires, entraînant une perte de 37 millions de dollars pour l'entreprise. Pendant tout le processus, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques par déni de service distribué et tenté de forcer des mots de passe.
Plusieurs incidents d'attaques sur des plateformes d'échange de cryptomonnaies
Le 24 août 2020, le portefeuille d'un échange de cryptomonnaie canadien a été piraté.
Le 11 septembre 2020, un projet a subi un transfert non autorisé de 400 000 dollars en raison d'une fuite de clé privée, entraînant la compromission de plusieurs portefeuilles contrôlés par l'équipe.
Le 6 octobre 2020, une plateforme de trading a vu 750 000 dollars d'actifs cryptographiques transférés illégalement de son portefeuille chaud en raison d'une faille de sécurité.
Début 2021, les fonds de ces attaques ont été rassemblés à la même adresse. Par la suite, les attaquants ont déposé et retiré plusieurs fois de l'Ethereum via une plateforme de mélange, et après de multiples transferts et échanges, ils ont finalement envoyé les fonds à une adresse de retrait spécifique.
Le fondateur d'une plateforme d'entraide a été attaqué par un Hacker
Le 14 décembre 2020, le fondateur d'une plateforme d'entraide a été victime d'une attaque de hacker, perdant 370 000 jetons de la plateforme, d'une valeur d'environ 8,3 millions de dollars.
Hacker a transféré et échangé des fonds volés via plusieurs adresses. Une partie des fonds a été transférée sur le réseau Bitcoin par le biais de cross-chain, puis de nouveau sur le réseau Ethereum, après avoir été traitée par une plateforme de mélange, et enfin envoyée à une plateforme de retrait.
Du 16 au 20 décembre 2020, l'une des adresses de Hacker a envoyé plus de 2500 Ethereum à une plateforme de mélange de devises. Quelques heures plus tard, une autre adresse associée a commencé les opérations de retrait.
De mai à juillet 2021, les attaquants ont transféré 11 millions de USDT vers l'adresse de dépôt d'une certaine plateforme de trading.
De février à juin 2023, les attaquants ont envoyé par lots plus de 11 millions de USDT à différentes plateformes de retrait via une adresse spécifique.
Analyse des dernières attaques
En août 2023, les ethers volés lors de deux attaques de hackers ont été transférés vers une certaine plateforme de mélange. Par la suite, les fonds ont été retirés vers plusieurs adresses et ont finalement été concentrés sur une adresse principale.
En novembre 2023, cette adresse principale a commencé à transférer des fonds, en passant par des intermédiaires et des échanges, pour finalement envoyer les fonds à une plateforme de retrait spécifique.
Résumé
Le modèle de blanchiment de capitaux de ce groupe de hackers est essentiellement fixe : après avoir volé des actifs cryptographiques, ils mélangent les fonds via des opérations inter-chaînes et des plateformes de mixage. Après le mélange, les actifs volés sont retirés vers une adresse cible, puis envoyés à un groupe d'adresses fixes pour le retrait. Les actifs cryptographiques volés sont principalement déposés sur des plateformes de retrait spécifiques, puis échangés contre des devises fiat via des services de trading hors cote.
Face à ces attaques continues et massives, l'industrie Web3 est confrontée à de sérieux défis en matière de sécurité. Les organismes concernés surveillent en permanence les mouvements de ce Hacker, analysent en profondeur ses modes opératoires afin d'aider les projets, les régulateurs et les autorités judiciaires à lutter contre ce type de crime et à récupérer les actifs volés.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
4
Partager
Commentaire
0/400
BearMarketSage
· Il y a 15h
Tsk tsk, encore volé autant.
Voir l'originalRépondre0
rugpull_ptsd
· Il y a 15h
Le vol de jetons a vraiment progressé, les méthodes sont impressionnantes.
Voir l'originalRépondre0
MetaDreamer
· Il y a 15h
Hacker peut également échapper à l'aube
Voir l'originalRépondre0
ProveMyZK
· Il y a 15h
La Corée du Nord est si dure, c'est vraiment le premier pays en matière de compétition interne.
Le groupe de hackers Lazarus a blanchi 147,5 millions de dollars en mars, avec 97 attaques impliquant 3,6 milliards sur 5 ans.
Analyse des méthodes d'attaque et de blanchiment de capitaux du groupe de hackers nord-coréen Lazarus Group
Un rapport secret des Nations Unies révèle qu'un groupe de hackers a volé des fonds d'une bourse de cryptomonnaie l'année dernière et a blanchi 147,5 millions de dollars via une plateforme de cryptomonnaie en mars de cette année.
Les enquêteurs ont rapporté au Conseil de sécurité de l'ONU qu'ils enquêtaient sur 97 cyberattaques visant des entreprises de cryptomonnaie survenues entre 2017 et 2024, pour un montant total d'environ 3,6 milliards de dollars. Cela inclut le vol de 147,5 millions de dollars subi par une plateforme d'échange de cryptomonnaies à la fin de l'année dernière, fonds qui ont été blanchis en mars de cette année.
En 2022, les États-Unis ont imposé des sanctions à une plateforme de mixage de cryptomonnaies. L'année suivante, deux cofondateurs de cette plateforme ont été accusés d'avoir aidé au blanchiment de capitaux de plus de 1 milliard de dollars, dont une partie des fonds était liée à une organisation criminelle en ligne.
Selon une enquête d'un analyste en cryptomonnaie, ce hacker a blanchi pour 200 millions de dollars de cryptomonnaie en monnaie fiduciaire entre août 2020 et octobre 2023.
Ce groupe de hackers est accusé depuis longtemps de mener des attaques informatiques à grande échelle et des crimes financiers. Leurs cibles sont réparties dans le monde entier, impliquant des systèmes bancaires, des échanges de cryptomonnaies, des agences gouvernementales et des entreprises privées. Ci-dessous, nous analyserons quelques cas typiques, révélant comment ce groupe met en œuvre ces attaques grâce à des stratégies complexes et des techniques avancées.
Ingénierie sociale et attaques par phishing
Selon des rapports, ce groupe de hackers a ciblé des entreprises militaires et aérospatiales en Europe et au Moyen-Orient. Ils ont publié de fausses annonces de recrutement sur des plateformes sociales pour inciter les employés à télécharger des PDF contenant des fichiers exécutables malveillants, réalisant ainsi des attaques de phishing.
Cette méthode tente d'inciter les victimes à baisser leur garde par la manipulation psychologique, en les amenant à exécuter des opérations mettant en danger la sécurité, comme cliquer sur des liens ou télécharger des fichiers. Leur logiciel malveillant peut exploiter les vulnérabilités du système de la victime pour voler des informations sensibles.
Au cours d'une attaque de six mois contre un fournisseur de paiement en cryptomonnaie, un groupe de hackers a utilisé des méthodes similaires, entraînant une perte de 37 millions de dollars pour l'entreprise. Pendant tout le processus, ils ont envoyé de fausses offres d'emploi aux ingénieurs, lancé des attaques par déni de service distribué et tenté de forcer des mots de passe.
Plusieurs incidents d'attaques sur des plateformes d'échange de cryptomonnaies
Le 24 août 2020, le portefeuille d'un échange de cryptomonnaie canadien a été piraté.
Le 11 septembre 2020, un projet a subi un transfert non autorisé de 400 000 dollars en raison d'une fuite de clé privée, entraînant la compromission de plusieurs portefeuilles contrôlés par l'équipe.
Le 6 octobre 2020, une plateforme de trading a vu 750 000 dollars d'actifs cryptographiques transférés illégalement de son portefeuille chaud en raison d'une faille de sécurité.
Début 2021, les fonds de ces attaques ont été rassemblés à la même adresse. Par la suite, les attaquants ont déposé et retiré plusieurs fois de l'Ethereum via une plateforme de mélange, et après de multiples transferts et échanges, ils ont finalement envoyé les fonds à une adresse de retrait spécifique.
Le fondateur d'une plateforme d'entraide a été attaqué par un Hacker
Le 14 décembre 2020, le fondateur d'une plateforme d'entraide a été victime d'une attaque de hacker, perdant 370 000 jetons de la plateforme, d'une valeur d'environ 8,3 millions de dollars.
Hacker a transféré et échangé des fonds volés via plusieurs adresses. Une partie des fonds a été transférée sur le réseau Bitcoin par le biais de cross-chain, puis de nouveau sur le réseau Ethereum, après avoir été traitée par une plateforme de mélange, et enfin envoyée à une plateforme de retrait.
Du 16 au 20 décembre 2020, l'une des adresses de Hacker a envoyé plus de 2500 Ethereum à une plateforme de mélange de devises. Quelques heures plus tard, une autre adresse associée a commencé les opérations de retrait.
De mai à juillet 2021, les attaquants ont transféré 11 millions de USDT vers l'adresse de dépôt d'une certaine plateforme de trading.
De février à juin 2023, les attaquants ont envoyé par lots plus de 11 millions de USDT à différentes plateformes de retrait via une adresse spécifique.
Analyse des dernières attaques
En août 2023, les ethers volés lors de deux attaques de hackers ont été transférés vers une certaine plateforme de mélange. Par la suite, les fonds ont été retirés vers plusieurs adresses et ont finalement été concentrés sur une adresse principale.
En novembre 2023, cette adresse principale a commencé à transférer des fonds, en passant par des intermédiaires et des échanges, pour finalement envoyer les fonds à une plateforme de retrait spécifique.
Résumé
Le modèle de blanchiment de capitaux de ce groupe de hackers est essentiellement fixe : après avoir volé des actifs cryptographiques, ils mélangent les fonds via des opérations inter-chaînes et des plateformes de mixage. Après le mélange, les actifs volés sont retirés vers une adresse cible, puis envoyés à un groupe d'adresses fixes pour le retrait. Les actifs cryptographiques volés sont principalement déposés sur des plateformes de retrait spécifiques, puis échangés contre des devises fiat via des services de trading hors cote.
Face à ces attaques continues et massives, l'industrie Web3 est confrontée à de sérieux défis en matière de sécurité. Les organismes concernés surveillent en permanence les mouvements de ce Hacker, analysent en profondeur ses modes opératoires afin d'aider les projets, les régulateurs et les autorités judiciaires à lutter contre ce type de crime et à récupérer les actifs volés.