Le groupe de hackers nord-coréen Lazarus semble avoir récemment intensifié ses opérations, avec quatre attaques confirmées contre des entités de crypto-monnaie depuis le 3 juin. Ils sont désormais soupçonnés d'avoir mené une cinquième attaque, cette fois sur CoinEx le 12 septembre. En réponse, CoinEx a publié plusieurs tweets indiquant que l'adresse du portefeuille suspect est toujours en cours de confirmation, de sorte que la valeur totale des fonds volés est inconnue, mais est actuellement estimée à environ 54 millions de dollars.

Au cours des 104 derniers jours, il a été confirmé que Lazarus a volé près de 240 millions de dollars d'actifs cryptographiques à AtomicWallet (100 millions de dollars), CoinsPaid (37,3 millions de dollars), Alphapo (60 millions de dollars) et Stake.com (41 millions de dollars).

Dernière attaque de Lazare

Comme indiqué ci-dessus, l'analyse de l'agence de sécurité Elliptic a confirmé qu'une partie des fonds volés à CoinEx avait été envoyés à une adresse utilisée par le groupe Lazarus pour blanchir les fonds volés sur Stake.com, bien que sur une blockchain différente. Les fonds ont ensuite été transférés vers Ethereum, en utilisant un pont précédemment utilisé par Lazarus, puis renvoyés à une adresse connue pour être contrôlée par les pirates de CoinEx. Ilipu a observé Lazarus mélanger des fonds provenant de différents pirates informatiques, plus récemment lorsque des fonds volés sur Stake.com chevauchaient des fonds volés sur AtomicWallet. Ces cas de combinaison de fonds provenant de différents pirates informatiques sont affichés en orange dans l’image ci-dessous.

Compte tenu de cette activité blockchain et du manque d’informations suggérant que le piratage de CoinEx a été effectué par un autre groupe malveillant, Illip convient que le groupe Lazarus devrait être soupçonné d’avoir volé des fonds CoinEx.

Cinq attaques de Lazare en 104 jours

En 2022, plusieurs piratages très médiatisés ont été attribués à Lazarus, notamment le pont Horizon d'Harmony et le pont Ronin d'AxieInfinity, tous deux survenus au cours du premier semestre de l'année dernière. Entre cette date et juin de cette année, aucun cryptohéiste majeur n’avait été publiquement attribué à Lazarus. Par conséquent, les différents incidents de piratage survenus au cours des 104 derniers jours indiquent une augmentation des activités des groupes menaçants nord-coréens.

Le 3 juin 2023, les utilisateurs du portefeuille de crypto-monnaie décentralisé non dépositaire AtomicWallet ont perdu plus de 100 millions de dollars. Le 6 juin 2023, Illip a attribué le piratage à Lazarus après avoir identifié plusieurs facteurs indiquant qu'un groupe menaçant nord-coréen en était responsable. Cette attribution a ensuite été confirmée par le FBI.

Le 22 juillet 2023, Lazarus a eu accès à un portefeuille chaud appartenant à la plateforme de paiement en crypto-monnaie CoinsPaid grâce à une attaque d'ingénierie sociale réussie. Cet accès a permis aux attaquants de créer des demandes d’autorisation pour retirer environ 37,3 millions de dollars d’actifs cryptographiques des portefeuilles chauds de la plateforme. Le 26 juillet, CoinsPaid a publié un rapport affirmant que Lazarus était responsable de l'attaque. Le FBI a par la suite confirmé l'attribution.

Le même jour, le 22 juillet, Lazarus a lancé une autre attaque très médiatisée, ciblant cette fois le fournisseur de paiements cryptographiques centralisé Alphapo, volant 60 millions de dollars d'actifs cryptographiques. L'attaquant peut avoir obtenu l'accès via une clé privée précédemment divulguée. Comme mentionné ci-dessus, le FBI a ensuite attribué l’attaque à Lazarus.

Le 4 septembre 2023, le casino en ligne de crypto-monnaie Stake.com a été attaqué et environ 41 millions de dollars en monnaie virtuelle ont été volés, probablement à cause du vol de clés privées. Le FBI a publié un communiqué de presse le 6 septembre confirmant que le groupe Lazarus était à l'origine de l'attaque.

Enfin, le 12 septembre 2023, l’échange centralisé de crypto-monnaie CoinEx a été piraté et 54 millions de dollars ont été volés. Comme détaillé ci-dessus, un certain nombre de facteurs indiquent que Lazare est responsable de cette attaque.

Changer de stratégie ?

L’analyse des dernières activités de Lazarus montre que depuis l’année dernière, ils ont réorienté leur attention des services décentralisés vers les services centralisés. Parmi les cinq piratages récents évoqués précédemment, quatre ciblaient des fournisseurs de services d’actifs virtuels centralisés. Avant l’essor rapide de l’écosystème de la finance décentralisée (DeFi), les échanges centralisés étaient la cible privilégiée de Lazarus avant 2020.

Il pourrait y avoir un certain nombre de raisons pour lesquelles Lazarus se tourne à nouveau vers les services centralisés.

Accordez plus d’attention à la sécurité : les recherches précédentes de Yilip sur les incidents de piratage DeFi en 2022 ont révélé qu’un exploit se produisait tous les quatre jours, avec une moyenne de 32,6 millions de dollars volés à chaque fois. Les ponts inter-chaînes étaient une forme de service relativement nouvelle au début de 2022, mais sont désormais devenus l’un des types de protocoles DeFi les plus piratés. Ces tendances sont susceptibles de conduire à une amélioration des normes d’audit et de développement des contrats intelligents, réduisant ainsi la possibilité pour les pirates d’identifier et d’exploiter les vulnérabilités.

Vulnérable à l’ingénierie sociale : dans de nombreuses attaques de piratage informatique, la méthode d’attaque privilégiée par le groupe Lazarus était l’ingénierie sociale. Par exemple, le piratage de RoninBridge, d’une valeur de 540 millions de dollars, a été provoqué par de fausses offres d’emploi sur LinkedIn. Néanmoins, les services décentralisés disposent généralement d’effectifs plus réduits et, comme leur nom l’indique, sont décentralisés à des degrés divers. Par conséquent, obtenir un accès malveillant à un développeur n’est pas nécessairement la même chose qu’obtenir un accès administratif à un contrat intelligent.

Dans le même temps, les bourses centralisées auront probablement des effectifs plus importants, élargissant ainsi la portée des cibles possibles. Ils peuvent également fonctionner en utilisant des systèmes informatiques internes centralisés, ce qui donne au malware Lazarus une plus grande opportunité de pénétrer dans les fonctions prévues de leur entreprise.