Texte original compilé par : Babywhale, Foresight News
Le groupe de hackers nord-coréen Lazarus semble avoir récemment intensifié ses opérations : il a confirmé quatre attaques contre des sociétés de cryptomonnaie depuis le 3 juin, et la récente attaque contre la plateforme d'échange de cryptomonnaies CoinEx est probablement l'œuvre de Lazarus. En réponse, CoinEx a publié plusieurs tweets indiquant que les adresses de portefeuille suspectes sont toujours en cours d'identification, de sorte que la valeur totale des fonds volés n'est pas encore claire, mais elle pourrait avoir atteint 54 millions de dollars.
Au cours des 100 derniers jours, il a été confirmé que Lazarus a volé près de 240 millions de dollars à Atomic Wallet (100 millions de dollars), CoinsPaid (37,3 millions de dollars), Alphapo (60 millions de dollars) et Stake.com (41 millions de dollars).
Comme indiqué ci-dessus, Elliptic a analysé qu'une partie des fonds volés à CoinEx avait été envoyés à l'adresse utilisée par l'organisation Lazarus pour stocker les fonds volés sur Stake.com, bien que sur une blockchain différente. Les fonds ont ensuite été transférés à Ethereum via un pont inter-chaînes précédemment utilisé par Lazarus, puis renvoyés à une adresse connue pour être contrôlée par les pirates de CoinEx. Elliptic a observé ce type de mélange de fonds provenant de différents pirates informatiques lors de l'incident de Lazarus, plus récemment lorsque des fonds volés sur Stake.com ont été mélangés avec des fonds volés sur le portefeuille Atomic. Ces cas de combinaison de fonds provenant de différents pirates informatiques sont affichés en orange dans l’image ci-dessous.
Cinq attaques en plus de 100 jours
En 2022, plusieurs piratages très médiatisés ont été attribués à Lazarus, notamment une attaque contre le pont Horizon d'Harmony et une attaque contre le pont Ronin d'Axie Infinity, tous deux survenus au cours du premier semestre de l'année dernière. Depuis lors et jusqu’en juin de cette année, aucun vol majeur de cryptomonnaie n’a été publiquement attribué à Lazarus. Par conséquent, diverses attaques de piratage au cours des 100 derniers jours indiquent que les groupes de hackers nord-coréens redeviennent actifs.
Le 3 juin 2023, les utilisateurs du portefeuille de crypto-monnaie décentralisé non dépositaire Atomic Wallet ont perdu plus de 100 millions de dollars. Elliptic a officiellement attribué le piratage à Lazarus le 6 juin 2023, après avoir déterminé plusieurs facteurs indiquant la responsabilité d'un groupe de hackers nord-coréens, ce qui a ensuite été confirmé par le FBI.
Le 22 juillet 2023, Lazarus a eu accès à un portefeuille chaud appartenant à la plateforme de paiement crypté CoinsPaid grâce à une attaque d'ingénierie sociale. Cet accès a permis à l’attaquant de créer des demandes d’autorisation pour retirer environ 37,3 millions de dollars d’actifs cryptographiques du portefeuille chaud de la plateforme. Le 26 juillet, CoinsPaid a publié un rapport affirmant que Lazarus était responsable de l'attaque, ce qui a été confirmé par le FBI.
Le même jour, le 22 juillet, Lazarus a mené une autre attaque, ciblant cette fois le fournisseur de paiements cryptographiques centralisé Alphapo, volant 60 millions de dollars d'actifs cryptographiques. L'attaquant peut avoir obtenu l'accès via une clé privée précédemment divulguée. Le FBI a confirmé plus tard que Lazarus était l'agresseur de cet incident.
Le 4 septembre 2023, la plateforme de jeux de crypto-monnaie en ligne Stake.com a été attaquée et environ 41 millions de dollars de crypto-monnaie ont été volés, probablement en raison du vol de clés privées. Le FBI a publié un communiqué le 6 septembre confirmant que l'organisation Lazarus était à l'origine de l'attaque.
Enfin, le 12 septembre 2023, l’échange centralisé de crypto-monnaie CoinEx a été victime d’une attaque de pirate informatique et 54 millions de dollars ont été volés. Comme mentionné ci-dessus, plusieurs éléments de preuve indiquent que Lazare est responsable de cette attaque.
Lazare a changé sa « tactique » ?
L’analyse des dernières activités de Lazarus montre que depuis l’année dernière, ils ont réorienté leur attention des services décentralisés vers les services centralisés. Quatre des cinq piratages récents évoqués précédemment ciblaient les fournisseurs de services d’actifs cryptographiques centralisés. Avant 2020, avant l’essor rapide de l’écosystème DeFi, les échanges centralisés étaient la principale cible de Lazarus.
Il existe plusieurs explications possibles pour lesquelles Lazarus tourne à nouveau son attention vers les services centralisés.
Accordez plus d’attention à la sécurité : les recherches précédentes d’Elliptic sur les attaques de piratage DeFi en 2022 ont révélé qu’une attaque se produirait en moyenne tous les quatre jours en 2022, avec une moyenne de 32,6 millions de dollars volés par attaque. Les ponts entre chaînes sont devenus l’un des types de protocoles DeFi les plus couramment piratés en 2022. Ces tendances ont peut-être conduit à des améliorations des normes d’audit et de développement des contrats intelligents, réduisant ainsi la possibilité pour les pirates informatiques d’identifier et d’exploiter les vulnérabilités.
Susceptibilité à l'ingénierie sociale : lors de nombreuses attaques de piratage informatique, la méthode d'attaque privilégiée par le groupe Lazarus était l'ingénierie sociale. Par exemple, le piratage du Ronin Bridge, d'une valeur de 540 millions de dollars, était une « lacune » découverte grâce à de fausses offres d'emploi sur LinkedIn. Cependant, les services décentralisés n’ont généralement pas beaucoup d’employés et sont – comme leur nom l’indique – décentralisés à des degrés divers. Par conséquent, obtenir un accès malveillant à un développeur n’équivaut pas nécessairement à obtenir un accès administratif à un contrat intelligent.
Dans le même temps, les bourses centralisées emploieront probablement une main-d’œuvre relativement plus importante, élargissant ainsi l’éventail des cibles possibles. Ils peuvent également fonctionner à l’aide de systèmes informatiques internes centralisés, ce qui donne aux logiciels malveillants Lazarus une plus grande chance d’infiltrer l’entreprise.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le groupe de hackers nord-coréen Lazarus a « engrangé » 300 millions de dollars en 100 jours et a ciblé des institutions centralisées
Auteur original : Elliptique
Texte original compilé par : Babywhale, Foresight News
Le groupe de hackers nord-coréen Lazarus semble avoir récemment intensifié ses opérations : il a confirmé quatre attaques contre des sociétés de cryptomonnaie depuis le 3 juin, et la récente attaque contre la plateforme d'échange de cryptomonnaies CoinEx est probablement l'œuvre de Lazarus. En réponse, CoinEx a publié plusieurs tweets indiquant que les adresses de portefeuille suspectes sont toujours en cours d'identification, de sorte que la valeur totale des fonds volés n'est pas encore claire, mais elle pourrait avoir atteint 54 millions de dollars.
Au cours des 100 derniers jours, il a été confirmé que Lazarus a volé près de 240 millions de dollars à Atomic Wallet (100 millions de dollars), CoinsPaid (37,3 millions de dollars), Alphapo (60 millions de dollars) et Stake.com (41 millions de dollars).
Comme indiqué ci-dessus, Elliptic a analysé qu'une partie des fonds volés à CoinEx avait été envoyés à l'adresse utilisée par l'organisation Lazarus pour stocker les fonds volés sur Stake.com, bien que sur une blockchain différente. Les fonds ont ensuite été transférés à Ethereum via un pont inter-chaînes précédemment utilisé par Lazarus, puis renvoyés à une adresse connue pour être contrôlée par les pirates de CoinEx. Elliptic a observé ce type de mélange de fonds provenant de différents pirates informatiques lors de l'incident de Lazarus, plus récemment lorsque des fonds volés sur Stake.com ont été mélangés avec des fonds volés sur le portefeuille Atomic. Ces cas de combinaison de fonds provenant de différents pirates informatiques sont affichés en orange dans l’image ci-dessous.
Cinq attaques en plus de 100 jours
En 2022, plusieurs piratages très médiatisés ont été attribués à Lazarus, notamment une attaque contre le pont Horizon d'Harmony et une attaque contre le pont Ronin d'Axie Infinity, tous deux survenus au cours du premier semestre de l'année dernière. Depuis lors et jusqu’en juin de cette année, aucun vol majeur de cryptomonnaie n’a été publiquement attribué à Lazarus. Par conséquent, diverses attaques de piratage au cours des 100 derniers jours indiquent que les groupes de hackers nord-coréens redeviennent actifs.
Le 3 juin 2023, les utilisateurs du portefeuille de crypto-monnaie décentralisé non dépositaire Atomic Wallet ont perdu plus de 100 millions de dollars. Elliptic a officiellement attribué le piratage à Lazarus le 6 juin 2023, après avoir déterminé plusieurs facteurs indiquant la responsabilité d'un groupe de hackers nord-coréens, ce qui a ensuite été confirmé par le FBI.
Le 22 juillet 2023, Lazarus a eu accès à un portefeuille chaud appartenant à la plateforme de paiement crypté CoinsPaid grâce à une attaque d'ingénierie sociale. Cet accès a permis à l’attaquant de créer des demandes d’autorisation pour retirer environ 37,3 millions de dollars d’actifs cryptographiques du portefeuille chaud de la plateforme. Le 26 juillet, CoinsPaid a publié un rapport affirmant que Lazarus était responsable de l'attaque, ce qui a été confirmé par le FBI.
Le même jour, le 22 juillet, Lazarus a mené une autre attaque, ciblant cette fois le fournisseur de paiements cryptographiques centralisé Alphapo, volant 60 millions de dollars d'actifs cryptographiques. L'attaquant peut avoir obtenu l'accès via une clé privée précédemment divulguée. Le FBI a confirmé plus tard que Lazarus était l'agresseur de cet incident.
Le 4 septembre 2023, la plateforme de jeux de crypto-monnaie en ligne Stake.com a été attaquée et environ 41 millions de dollars de crypto-monnaie ont été volés, probablement en raison du vol de clés privées. Le FBI a publié un communiqué le 6 septembre confirmant que l'organisation Lazarus était à l'origine de l'attaque.
Enfin, le 12 septembre 2023, l’échange centralisé de crypto-monnaie CoinEx a été victime d’une attaque de pirate informatique et 54 millions de dollars ont été volés. Comme mentionné ci-dessus, plusieurs éléments de preuve indiquent que Lazare est responsable de cette attaque.
Lazare a changé sa « tactique » ?
L’analyse des dernières activités de Lazarus montre que depuis l’année dernière, ils ont réorienté leur attention des services décentralisés vers les services centralisés. Quatre des cinq piratages récents évoqués précédemment ciblaient les fournisseurs de services d’actifs cryptographiques centralisés. Avant 2020, avant l’essor rapide de l’écosystème DeFi, les échanges centralisés étaient la principale cible de Lazarus.
Il existe plusieurs explications possibles pour lesquelles Lazarus tourne à nouveau son attention vers les services centralisés.
Accordez plus d’attention à la sécurité : les recherches précédentes d’Elliptic sur les attaques de piratage DeFi en 2022 ont révélé qu’une attaque se produirait en moyenne tous les quatre jours en 2022, avec une moyenne de 32,6 millions de dollars volés par attaque. Les ponts entre chaînes sont devenus l’un des types de protocoles DeFi les plus couramment piratés en 2022. Ces tendances ont peut-être conduit à des améliorations des normes d’audit et de développement des contrats intelligents, réduisant ainsi la possibilité pour les pirates informatiques d’identifier et d’exploiter les vulnérabilités.
Susceptibilité à l'ingénierie sociale : lors de nombreuses attaques de piratage informatique, la méthode d'attaque privilégiée par le groupe Lazarus était l'ingénierie sociale. Par exemple, le piratage du Ronin Bridge, d'une valeur de 540 millions de dollars, était une « lacune » découverte grâce à de fausses offres d'emploi sur LinkedIn. Cependant, les services décentralisés n’ont généralement pas beaucoup d’employés et sont – comme leur nom l’indique – décentralisés à des degrés divers. Par conséquent, obtenir un accès malveillant à un développeur n’équivaut pas nécessairement à obtenir un accès administratif à un contrat intelligent.
Dans le même temps, les bourses centralisées emploieront probablement une main-d’œuvre relativement plus importante, élargissant ainsi l’éventail des cibles possibles. Ils peuvent également fonctionner à l’aide de systèmes informatiques internes centralisés, ce qui donne aux logiciels malveillants Lazarus une plus grande chance d’infiltrer l’entreprise.