Le groupe de hackers nord-coréen Lazarus semble avoir récemment intensifié ses opérations, avec quatre attaques confirmées ciblant l'industrie du chiffrement depuis le 3 juin. Récemment, ils ont été soupçonnés d'avoir mené la cinquième attaque. Le responsable de la sécurité de l'information de SlowMist, 23pds, a tweeté que l'attaque de 55 millions de dollars contre la bourse de chiffrement CoinEx avait été provoquée par des pirates informatiques parrainés par l'État nord-coréen.
Il convient de noter que des pirates informatiques parrainés par la Corée du Nord ont volé environ 1,2 milliard de dollars de crypto-monnaie dans le monde entier depuis 2017, selon un précédent rapport de l'Associated Press citant la principale agence d'espionnage de la Corée du Sud, le National Intelligence Service (NIS). Le NIS estime que la Corée du Nord est l’un des pays les plus motivés au monde en matière de vol de crypto-monnaies, et le pays s’est tourné vers la cybercriminalité après que les Nations Unies ont renforcé les sanctions économiques en 2017 en réponse à ses essais nucléaires et de missiles.
De plus, au cours des 104 derniers jours, il a été confirmé que le groupe de hackers nord-coréen Lazarus a volé près de 2,4 millions de dollars à Atomic Wallet (100 millions de dollars), CoinsPaid (37,3 millions de dollars), Alphapo (60 millions de dollars) et Stake.com (41 millions de dollars). . milliards d’actifs cryptographiques.
Comme le montre l'image ci-dessus, l'analyse elliptique indique qu'une partie des fonds volés à CoinEx ont été envoyés à l'adresse utilisée par l'organisation Lazarus pour stocker les fonds volés à Stake.com, bien que sur une blockchain différente. Les fonds ont ensuite été transférés à Ethereum via un pont inter-chaînes précédemment utilisé par Lazarus, puis renvoyés à une adresse contrôlée par les pirates de CoinEx.
Elliptic a observé ce type de mélange de fonds provenant de différents pirates informatiques lors de l'incident de Lazarus, plus récemment lorsque la cryptomonnaie volée sur Stake.com a été mélangée avec des fonds volés sur le portefeuille Atomic. Ces cas de combinaison de fonds provenant de différents pirates informatiques sont affichés en orange dans l’image ci-dessous.
01. Lazare a mené 5 attaques en 104 jours
En 2022, un certain nombre d'attaques de piratage très médiatisées ont été attribuées à Lazarus, notamment des attaques contre le pont Horizon d'Harmony et le pont Ronin d'Axie Infinity, toutes deux survenues au cours du premier semestre de l'année dernière. Depuis lors et jusqu’en juin de cette année, aucun vol majeur de cryptomonnaie n’a été publiquement attribué à Lazarus. Par conséquent, diverses attaques de piratage au cours des 104 derniers jours indiquent une augmentation des activités de ce groupe de pirates informatiques nord-coréens.
Le 3 juin 2023, les utilisateurs du portefeuille de crypto-monnaie décentralisé non dépositaire Atomic Wallet ont perdu plus de 100 millions de dollars. Elliptic a officiellement blâmé Lazarus pour le piratage le 6 juin 2023, après avoir identifié plusieurs facteurs indiquant la responsabilité d'un groupe de piratage informatique nord-coréen, ce qui a ensuite été confirmé par le FBI.
Le 22 juillet 2023, Lazarus a eu accès à un portefeuille chaud appartenant à la plateforme de paiement crypté CoinsPaid grâce à une attaque d'ingénierie sociale. Cet accès a permis à l’attaquant de créer des demandes d’autorisation pour retirer environ 37,3 millions de dollars d’actifs cryptographiques du portefeuille chaud de la plateforme. Le 26 juillet, CoinsPaid a publié un rapport affirmant que Lazarus était responsable de l'attaque, ce qui a également été confirmé par le Federal Bureau of Investigation (FBI).
Le même jour, le 22 juillet, Lazarus a mené une autre attaque très médiatisée, ciblant cette fois le fournisseur de paiements cryptographiques centralisé Alphapo, volant 60 millions de dollars d'actifs cryptographiques. L'attaquant peut avoir obtenu l'accès via une clé privée précédemment divulguée. Le FBI a confirmé plus tard que Lazarus était responsable de l'attaque.
Le 4 septembre 2023, la plateforme de jeux de crypto-monnaie en ligne Stake.com a subi une attaque et des monnaies virtuelles d'une valeur totale d'environ 41 millions de dollars ont été volées, probablement en raison du vol de clés privées. Le FBI a annoncé le 6 septembre que l'organisation Lazarus était le cerveau derrière l'attaque.
Enfin, le 12 septembre 2023, l’échange centralisé de crypto-monnaie CoinEx a subi une attaque de pirate informatique et 54 millions de dollars ont été volés. Comme mentionné ci-dessus, plusieurs éléments de preuve désignent Lazarus comme le pirate informatique responsable de cette attaque.
02. Lazare a changé de tactique ?
L’analyse des dernières activités de Lazarus montre que depuis l’année dernière, ils ont réorienté leur attention des services décentralisés vers les services centralisés. Quatre des cinq derniers piratages évoqués précédemment concernaient des fournisseurs de services d’actifs cryptographiques centralisés. Avant 2020, et avant l’essor rapide de l’écosystème de la finance décentralisée (DeFi), les échanges centralisés étaient la principale cible choisie par Lazarus.
Il existe plusieurs explications possibles pour lesquelles Lazarus tourne à nouveau son attention vers les services centralisés.
Les attaques du protocole DeFi deviennent plus difficiles
Les recherches précédentes d'Elliptic sur les attaques de piratage DeFi en 2022 ont révélé qu'une attaque se produirait en moyenne tous les 4 jours en 2022, avec une moyenne de 32,6 millions de dollars volés par attaque. Les ponts entre chaînes sont devenus l’un des types de protocoles DeFi les plus couramment piratés en 2022. Ces tendances ont peut-être conduit à des améliorations des normes d’audit et de développement des contrats intelligents, réduisant ainsi la possibilité pour les pirates informatiques d’identifier et d’exploiter les vulnérabilités.
Les institutions centralisées ont une grande complexité de relations sociales
Lors de nombreuses attaques de piratage précédentes, la méthode d'attaque choisie par le groupe Lazarus était l'ingénierie sociale. Par exemple, le piratage de Ronin Bridge, d'une valeur de 540 millions de dollars, a été provoqué par un ancien employé de l'entreprise qui a été trompé par une fausse offre d'emploi sur LinkedIn. Toutefois, les services décentralisés n’ont généralement pas beaucoup d’employés et les projets sont dans une certaine mesure décentralisés. Par conséquent, obtenir un accès malveillant à un développeur n’équivaut pas nécessairement à obtenir un accès administratif à un contrat intelligent.
Dans le même temps, les bourses centralisées emploieront probablement un nombre relativement important d’employés, élargissant ainsi l’éventail des cibles possibles. Ils peuvent également fonctionner à l’aide de systèmes informatiques internes centralisés, ce qui donne aux logiciels malveillants Lazarus une plus grande chance d’infiltrer l’entreprise.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
300 millions de dollars américains en 100 jours, les pirates nord-coréens « de l'argent fou » dans le cercle du cryptage
Source/elliptique
Compiler/Pseudo
Le groupe de hackers nord-coréen Lazarus semble avoir récemment intensifié ses opérations, avec quatre attaques confirmées ciblant l'industrie du chiffrement depuis le 3 juin. Récemment, ils ont été soupçonnés d'avoir mené la cinquième attaque. Le responsable de la sécurité de l'information de SlowMist, 23pds, a tweeté que l'attaque de 55 millions de dollars contre la bourse de chiffrement CoinEx avait été provoquée par des pirates informatiques parrainés par l'État nord-coréen.
Il convient de noter que des pirates informatiques parrainés par la Corée du Nord ont volé environ 1,2 milliard de dollars de crypto-monnaie dans le monde entier depuis 2017, selon un précédent rapport de l'Associated Press citant la principale agence d'espionnage de la Corée du Sud, le National Intelligence Service (NIS). Le NIS estime que la Corée du Nord est l’un des pays les plus motivés au monde en matière de vol de crypto-monnaies, et le pays s’est tourné vers la cybercriminalité après que les Nations Unies ont renforcé les sanctions économiques en 2017 en réponse à ses essais nucléaires et de missiles.
De plus, au cours des 104 derniers jours, il a été confirmé que le groupe de hackers nord-coréen Lazarus a volé près de 2,4 millions de dollars à Atomic Wallet (100 millions de dollars), CoinsPaid (37,3 millions de dollars), Alphapo (60 millions de dollars) et Stake.com (41 millions de dollars). . milliards d’actifs cryptographiques.
Comme le montre l'image ci-dessus, l'analyse elliptique indique qu'une partie des fonds volés à CoinEx ont été envoyés à l'adresse utilisée par l'organisation Lazarus pour stocker les fonds volés à Stake.com, bien que sur une blockchain différente. Les fonds ont ensuite été transférés à Ethereum via un pont inter-chaînes précédemment utilisé par Lazarus, puis renvoyés à une adresse contrôlée par les pirates de CoinEx.
Elliptic a observé ce type de mélange de fonds provenant de différents pirates informatiques lors de l'incident de Lazarus, plus récemment lorsque la cryptomonnaie volée sur Stake.com a été mélangée avec des fonds volés sur le portefeuille Atomic. Ces cas de combinaison de fonds provenant de différents pirates informatiques sont affichés en orange dans l’image ci-dessous.
01. Lazare a mené 5 attaques en 104 jours
En 2022, un certain nombre d'attaques de piratage très médiatisées ont été attribuées à Lazarus, notamment des attaques contre le pont Horizon d'Harmony et le pont Ronin d'Axie Infinity, toutes deux survenues au cours du premier semestre de l'année dernière. Depuis lors et jusqu’en juin de cette année, aucun vol majeur de cryptomonnaie n’a été publiquement attribué à Lazarus. Par conséquent, diverses attaques de piratage au cours des 104 derniers jours indiquent une augmentation des activités de ce groupe de pirates informatiques nord-coréens.
Le 3 juin 2023, les utilisateurs du portefeuille de crypto-monnaie décentralisé non dépositaire Atomic Wallet ont perdu plus de 100 millions de dollars. Elliptic a officiellement blâmé Lazarus pour le piratage le 6 juin 2023, après avoir identifié plusieurs facteurs indiquant la responsabilité d'un groupe de piratage informatique nord-coréen, ce qui a ensuite été confirmé par le FBI.
Le 22 juillet 2023, Lazarus a eu accès à un portefeuille chaud appartenant à la plateforme de paiement crypté CoinsPaid grâce à une attaque d'ingénierie sociale. Cet accès a permis à l’attaquant de créer des demandes d’autorisation pour retirer environ 37,3 millions de dollars d’actifs cryptographiques du portefeuille chaud de la plateforme. Le 26 juillet, CoinsPaid a publié un rapport affirmant que Lazarus était responsable de l'attaque, ce qui a également été confirmé par le Federal Bureau of Investigation (FBI).
Le même jour, le 22 juillet, Lazarus a mené une autre attaque très médiatisée, ciblant cette fois le fournisseur de paiements cryptographiques centralisé Alphapo, volant 60 millions de dollars d'actifs cryptographiques. L'attaquant peut avoir obtenu l'accès via une clé privée précédemment divulguée. Le FBI a confirmé plus tard que Lazarus était responsable de l'attaque.
Le 4 septembre 2023, la plateforme de jeux de crypto-monnaie en ligne Stake.com a subi une attaque et des monnaies virtuelles d'une valeur totale d'environ 41 millions de dollars ont été volées, probablement en raison du vol de clés privées. Le FBI a annoncé le 6 septembre que l'organisation Lazarus était le cerveau derrière l'attaque.
Enfin, le 12 septembre 2023, l’échange centralisé de crypto-monnaie CoinEx a subi une attaque de pirate informatique et 54 millions de dollars ont été volés. Comme mentionné ci-dessus, plusieurs éléments de preuve désignent Lazarus comme le pirate informatique responsable de cette attaque.
02. Lazare a changé de tactique ?
L’analyse des dernières activités de Lazarus montre que depuis l’année dernière, ils ont réorienté leur attention des services décentralisés vers les services centralisés. Quatre des cinq derniers piratages évoqués précédemment concernaient des fournisseurs de services d’actifs cryptographiques centralisés. Avant 2020, et avant l’essor rapide de l’écosystème de la finance décentralisée (DeFi), les échanges centralisés étaient la principale cible choisie par Lazarus.
Il existe plusieurs explications possibles pour lesquelles Lazarus tourne à nouveau son attention vers les services centralisés.
Les attaques du protocole DeFi deviennent plus difficiles
Les recherches précédentes d'Elliptic sur les attaques de piratage DeFi en 2022 ont révélé qu'une attaque se produirait en moyenne tous les 4 jours en 2022, avec une moyenne de 32,6 millions de dollars volés par attaque. Les ponts entre chaînes sont devenus l’un des types de protocoles DeFi les plus couramment piratés en 2022. Ces tendances ont peut-être conduit à des améliorations des normes d’audit et de développement des contrats intelligents, réduisant ainsi la possibilité pour les pirates informatiques d’identifier et d’exploiter les vulnérabilités.
Les institutions centralisées ont une grande complexité de relations sociales
Lors de nombreuses attaques de piratage précédentes, la méthode d'attaque choisie par le groupe Lazarus était l'ingénierie sociale. Par exemple, le piratage de Ronin Bridge, d'une valeur de 540 millions de dollars, a été provoqué par un ancien employé de l'entreprise qui a été trompé par une fausse offre d'emploi sur LinkedIn. Toutefois, les services décentralisés n’ont généralement pas beaucoup d’employés et les projets sont dans une certaine mesure décentralisés. Par conséquent, obtenir un accès malveillant à un développeur n’équivaut pas nécessairement à obtenir un accès administratif à un contrat intelligent.
Dans le même temps, les bourses centralisées emploieront probablement un nombre relativement important d’employés, élargissant ainsi l’éventail des cibles possibles. Ils peuvent également fonctionner à l’aide de systèmes informatiques internes centralisés, ce qui donne aux logiciels malveillants Lazarus une plus grande chance d’infiltrer l’entreprise.