Le Federal Bureau of Investigation (FBI) a confirmé la Corée du Nord en tant que coupable derrière le récent exploit de 1,5 milliard de dollars sur le bilan.
Dans une annonce de la fonction publique du 26 février (PSA), l’agence a attribué l’attaque à TraderTraitor, une cyber-campagne malveillante liée aux acteurs de la menace nord-coréenne.
TraderTraitor fait référence à une série d’applications infestées de logiciels malveillants déguisées en outils de négociation de crypto et de prédiction des prix.
Ces applications, construites à l’aide de JavaScript multiplateforme et du cadre électronique, proviennent de divers projets open source. Les cybercriminels derrière la campagne utilisent des sites Web bien conçus pour attirer les victimes, présentant de fausses fonctionnalités pour renforcer la crédibilité.
Blanchiment de fonds
Le FBI a rapporté que les fonds volés étaient déjà blanchis, les attaquants convertissant des parties des actifs en Bitcoin et les dispersant sur plusieurs réseaux de blockchain.
L’agence s’attend à ce que les fonds soient finalement échangés contre une monnaie fiduciaire par le biais de canaux illicites.
Pour contrer cela, le FBI a publié une liste d’adresses blockchain signalées liées aux pirates. Il a exhorté les fournisseurs de services d’actifs virtuels – y compris les échanges, les plateformes Defi et les sociétés d’analyse de la blockchain – pour bloquer les transactions associées à ces adresses pour empêcher le blanchiment d’argent.
Cela confirme les rapports antérieurs de la société d’analyse de la blockchain, Spotonchain, qui a révélé que les pirates avaient blanchi 100 000 ETH, évalué à environ 250 millions de dollars, en moins de quatre jours.
Spotonchain a noté que les fonds blanchis représentent 20% des 499 000 ETH volés. Selon l’entreprise, les cybercriminels ont divisé les actifs sur plusieurs adresses et utilisé Thorchain pour des échanges croisés en bitcoin, DAI et d’autres crypto-monnaies.
La cyber-menace en expansion de la Corée du Nord
Cette attaque illustre le succès croissant de la Corée du Nord dans l’utilisation de la cybercriminalité pour financer les opérations de l’État. Le groupe Lazare, une unité de piratage notoire soutenue par le gouvernement, a été à l’origine de plusieurs landes d’atout numérique.
Le FBI a noté que le groupe Lazare est responsable de plusieurs attaques antérieures sur les plateformes cryptographiques. Le groupe a attaqué Horizon Bridge en juin 2022, a attaqué Ronin Bridge en mars 2022 et a également mené d’autres attaques.
Les rapports indiquent que les pirates nord-coréens ont volé plus de 1,3 milliard de dollars d’actifs numériques en 2024, dépassant de loin les 660 millions de dollars prises en 2023.
Les analystes pensent que ces fonds volés soutiennent le programme d’armes nucléaires du pays, ce qui lui permet de contourner les sanctions internationales.
Bybit et Safe ont en outre confirmé Cryptoslate que le groupe de piratage nord-coréen Lazarus était responsable de l’attaque. Une machine de développeur a été compromise, permettant aux pirates de tromper les propriétaires d’un portefeuille froid multisig pour signaler une transaction malveillante. Sécurité déclarée,
“L’équipe Safe {Wallet} a entièrement reconstruit, reconfiguré toutes les infrastructures et tourné toutes les informations d’identification, garantissant que le vecteur d’attaque est complètement éliminé.”
Bybit a également confirmé que la majorité de ses actifs détenus avec Safe a été retiré des coffres pour protéger contre toute nouvelle vulnérabilité.
(TagStotranslate) Ethereum
