Le FBI aurait pris le temps de tracer toutes les transactions douteuses et frauduleuses qui pouvaient éclaircir les soupçons quant à ce vol. Ce n’est finalement qu’en janvier, 6 mois après le piratage, qu’une erreur a été fatale au Lazarus Group !
Le FBI confirme que la Corée du Nord est à l’origine du piratage de 100 millions de dollars de Harmony
Le Federal Bureau of Investigation (FBI) a confirmé que les groupes de pirates nord-coréens Lazarus et APT38 sont, tous deux, responsables du vol de 100 millions de dollars en cryptomonnaies du fournisseur de ponts blockchain : Harmony. L’attaque a eu lieu en juin de l’année dernière et d’après l’historique des attaques du genre, ce serait l’un des plus grands vols orchestrés, liés aux cryptomonnaies jamais commis. La déclaration du FBI est intervenue après une longue enquête sur l’incident, qui a consisté à analyser des preuves numériques et à interroger des témoins. Mais en réalité, c’était surtout une erreur commise 6 mois après les faits, par les malfrats, qui est à la base de cette découverte ! 60 millions de dollars d’ETH ont été blanchis le 13 janvier 2023. Considérant la source, ce ne pourrait être que les hackers sus-cités.
Selon l’agence d’enquête, les pirates ont utilisé des techniques sophistiquées pour accéder aux systèmes d’Harmony, puis transférer des fonds de ses portefeuilles. Il s’agirait d’un protocole nommé RAILGUN, réputé dans la cryptosphère, qui aurait permis de passer toutes leurs transactions sous silence. Dans cette même opération de vol, une faille dans l’usage dudit protocole a permis à divers exchange de récupérer puis de geler une partie de l’argent volé. Toutefois, 11 adresses Ethereum, appartenant manifestement aux hackers, ont récupéré le reste des fonds non gelés. De toute évidence, bien que la cryptosphère se targue de disposer d’une tonne de système de sécurité, force est de constater que les cybercriminels eux, savent trouver l’antidote parfait pour ces pare-feux !
Le FBI ne compte pas abandonner les recherches malgré tout ! Ils « continueront d’identifier et de perturber le vol et le blanchiment de la monnaie virtuelle par la Corée du Nord, qui est utilisée pour soutenir les programmes de missiles balistiques et d’armes de destruction massive de la Corée du Nord ».
Une attaque hors du commun
Il faudra quand même se l’accorder, l’attaque est particulièrement remarquable en raison de sa taille et de sa sophistication. Mieux, il suffit aussi d’analyser le temps pris par les enquêteurs pour découvrir qui pourrait être derrière ce « sale coup ». Et d’ailleurs, si d’autres attaques ont été menées par des hackers nord-coréens ces dernières années, celle-ci se distingue par le fait qu’elle a pu dérober une telle quantité d’argent sans être détectée pendant tout ce temps.
Notons que certains analystes avaient quand même pressenti que le coup était parti des hackers coréens du Lazarus Group ; mais rien ne pouvait confirmer les suspicions. Le domaine des cryptos aurait été centralisé que ce pourrait facilement être considéré comme une forme de déclaration de guerre. C’était quand même un pont “inter-chain” qui reliait la firme Harmony à des blockchains de cryptos mastodontes tels que le Bitcoin, l’Ethereum, et Binance Chain. Et nous n’oublions pas le piratage de Ronin Network, en avril, où c’était plutôt 622 millions de dollars qui avaient été dérobés. Le but était-il de fragiliser la Sidechain Ethereum ? Décourager les amateurs de Axie Infinity ? Ou juste voler de l’argent ? Difficile de se mettre dans la peau de cybercriminels.
Si avec toutes ces attaques, il faut faire un point — tâche que l’Associated Press s’est empressée de réaliser avec beaucoup d’attention — au moins 1,2 milliard de dollars ont été dérobés lors d’attaques perpétrées par le Lazarus Group et APT38.
La firme Harmony quant à elle…
La firme Harmony a depuis pris des mesures pour améliorer ses mesures de sécurité, notamment en mettant en place une authentification multifactorielle pour tous les utilisateurs et en introduisant de nouvelles technologies de cryptage. Cela n’empêche, rien n’affirme avec certitude que ledit nouveau système ne dispose d’aucune faille. Quoi qu’il en soit, la firme ne compte pas passer l’éponge aussi facilement sur cette récente affaire ! En effet, la société a également offert une récompense pour toute information menant à l’arrestation ou à la condamnation des responsables de l’attaque.
Les cybercriminels ne se contenteraient pas de cette forme de vol
Selon des enquêtes minutieusement menées et dont les rapports ne sont apparus qu’en fin décembre de l’année dernière, les hackers du Lazarus Group se feraient aussi passer pour des investisseurs en capital-risque.
Selon le FBI, les brèches commencent par un nombre élevé de communications de “spearphishing” adressées aux travailleurs des organisations de cryptomonnaies. Il s’agit de personnes travaillant généralement dans l’administration système ou le développement de logiciels/opérations informatiques (DevOps). L’hameçonnage est alors lancé sur une série de plateformes de communication. “Ces communications ressemblent souvent à une tentative de recrutement et promettent des postes bien rémunérés afin d’inciter les destinataires à télécharger des applications de cryptomonnaies chargées de malwares.”
Fort de tout cela, le gouvernement américain a ciblé les services de brouilleur de coin — des outils qui permettraient aux utilisateurs de masquer les enregistrements publics des transactions en cryptomonnaies. Mieux, en août, le département du Trésor a déclaré “hors la loi”, le brouilleur de jetons Ethereum “Tornado Cash”, sans oublier ces adresses de porte-monnaie qui lui sont liées. Selon ledit département, le Lazarus Group utiliserait ce service pour blanchir l’argent provenant d’attaques antérieures.
Cet incident nous rappelle que même les systèmes bien protégés peuvent être vulnérables aux attaques s’ils ne sont pas correctement sécurisés. Il est important que les entreprises qui traitent des cryptomonnaies prennent des précautions supplémentaires en ce qui concerne leurs protocoles de sécurité. Cela, car les cybercriminels sont constamment à la recherche de nouveaux moyens de voler des actifs numériques.
Share
Adem
