8 septembre 2023

Le FBI confirme que la Corée du Nord est à l'origine de l'exploitation de Stake.com pour un montant de 41 millions de dollars

Cette semaine, le FBI a publié un communiqué confirmant que le vol d'environ 41 millions de dollars d'actifs cryptographiques de Stake.com, un casino en ligne et une plateforme de paris, était l'œuvre du groupe Lazarus de Corée du Nord. Lazarus a volé ces actifs sur des adresses contrôlées par Stake sur les blockchains Ethereum, Binance Smart Chain (BSC) et Polygon et, depuis hier, les a transférés sur les 40 adresses cryptographiques identifiées dans le communiqué de presse du FBI.

L'analyse par TRM du piratage et des mouvements de fonds après le vol confirme l'implication de la RPDC. Les actifs ETH et BSC ont, pour la plupart, été échangés contre des actifs natifs non gelés, mais restent stationnés. Les Polygon/MATIC ont été échangés et pontés via Squid Router. Ces échanges allaient généralement de MATIC à USDT ou USDC et étaient déplacés vers Avalanche. Sur Avalanche, ils ont été échangés contre des BTC enveloppés, puis transférés vers Bitcoin, où ils sont maintenant stationnés. Ce type d'activité est l'une des caractéristiques des récents exploits du Lazarus Group.

La figure 1 montre que les pirates ont rapidement déplacé les fonds volés à travers plusieurs devises et plusieurs chaînes, ce qui peut facilement être vu sur un graphique dans le logiciel TRM's Graph Visualizer

‍

*La figure 2 présente un examen plus approfondi de certains des échanges spécifiques entre l'AVAX et le bitcoin*

‍

Comme le décrit le récent rapport de TRM sur les vols de crypto-monnaie en Corée du Nord, l'Avalanche Bridge est devenu le moyen de prédilection des pirates nord-coréens pour transférer des fonds depuis et vers la blockchain Bitcoin.

Selon le FBI et un récent rapport de TRM, ces mêmes acteurs de la RPDC sont également responsables de plusieurs autres attaques à grande échelle qui ont permis de voler plus de 200 millions de dollars jusqu'à présent en 2023. Selon le FBI, ce montant comprend, sans s'y limiter, environ 60 millions de dollars en monnaie virtuelle provenant d'Alphapo et de CoinsPaid le ou vers le 22 juillet 2023, et environ 100 millions de dollars en monnaie virtuelle provenant d'Atomic Wallet le ou vers le 2 juin 2023. Selon TRM, les cyberacteurs nord-coréens ont volé plus de 2 milliards de dollars en crypto-monnaie au cours des cinq dernières années.

Le FBI a déjà fourni des informations au public concernant les attaques de la RPDC contre lepont Horizon d'Harmonyet lepont Ronin de Sky Mavis, et a publié un avis de cybersécurité sur TraderTraitor.En outre, l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné le Lazarus Group en 2019.

La récente série d'annonces publiques du FBI, confirmant l'implication de la Corée du Nord dans une série de piratages, fait partie d'un effort plus large du gouvernement américain pour armer l'industrie avec les connaissances nécessaires pour rejeter, bloquer et geler les crypto-actifs sous le contrôle de la Corée du Nord. En rendant publiques les adresses exactes que la Corée du Nord est connue pour contrôler, le FBI facilite grandement la tâche des professionnels de la conformité pour identifier et bloquer les dépôts suspects effectués par des pirates nord-coréens.‍

Les cybercriminels nord-coréens continuent d'évoluer‍

Même au cours de l'année écoulée, les tactiques de blanchiment de la Corée du Nord ont évolué. En 2022, les acteurs nord-coréens avaient tendance à transférer rapidement les fonds volés vers le mélangeur Tornado Cash basé sur Ethereum, car la majorité des piratages se produisaient sur Ethereum ou d'autres blockchains EVM. Les fonds étaient ensuite transférés vers Bitcoin via le Ren Bridge, où ils étaient à nouveau blanchis via ChipMixer, un service de mixeur Bitcoin très populaire à l'époque.

Cependant, Tornado Cash a fait l'objet de sanctions de l'OFAC en août 2022 et ChipMixer a été supprimé par les forces de l'ordre au début de cette année, ce qui a rendu plus difficile l'utilisation de ces mélangeurs par Lazarus Group. Après les sanctions imposées par Tornado Cash, nous avons vu en début d'année des fonds provenant du piratage d'Harmony Bridge - dormants depuis leur blanchiment initial par Tornado Cash à l'été 2022 - passer soudainement par divers services et être transférés à des courtiers OTC apparents. Ce nouveau modèle de blanchiment implique essentiellement le passage des fonds en bitcoins via le pont Avalanche - une alternative beaucoup moins coûteuse et toujours fonctionnelle au pont Ren - puis le blanchiment via Sinbad, un mélangeur de bitcoins qui est devenu le mélangeur préféré des cybercriminels nord-coréens. De là, les pirates nord-coréens renvoient généralement les fonds vers une chaîne comme Avalanche, comme nous l'avons vu dans le piratage de Stake.com, avec des détours possibles vers d'autres chaînes plus obscures comme BTTC, avant de finir sur la blockchain Tron via le SWFT Bridge, un service de transition vers Tron très populaire auprès des utilisateurs de crypto-monnaies de langue chinoise.

Une fois sur Tron, les fonds volés, qui ont presque toujours déjà été convertis en USDT, sont alors apparemment liquidés auprès d'adresses à fort volume et à forte valeur qui semblent être des courtiers de gré à gré, desservant probablement des négociants en crypto-monnaies chinois illicites.

‍Lerôle de la Blockchain Intelligence dans le suivi des fonds volés par la Corée du Nord‍

Le piratage de Stake.com et les mouvements de fonds qui ont suivi le vol sont un autre exemple des techniques d'obscurcissement évoluées de la Corée du Nord dans un écosystème à chaînes multiples et croisées. L'Blockchain intelligence - les données de la blockchain enrichies par des renseignements sur les menaces de sources ouvertes et propriétaires - telle que représentée par TRM Forensics, permet aux enquêteurs de suivre l'argent dans les crypto-monnaies pour finalement identifier les acteurs de la menace et saisir les fonds illicites, y compris les fonds volés et blanchis par la Corée du Nord.

En 2019, en réponse au nombre croissant de blockchains et à l'utilisation de plus en plus fréquente de différentes chaînes par les cybercriminels, TRM Labs a introduit l'analyse des chaînes croisées dans TRM Forensics, notre outil de traçage phare. Celui-ci permet aux enquêteurs de tracer des fonds provenant de plusieurs blockchains et de plusieurs actifs dans une seule visualisation.

En 2022, TRM a identifié l'utilisation croissante du saut de chaîne comme technique d'obscurcissement et a lancé TRM Phoenix, la première solution du secteur pour tracer automatiquement le flux de fonds à travers les blockchains par le biais de ponts et d'autres services.

Alors que la Corée du Nord continue d'attaquer l'écosystème cryptographique en pleine croissance, la capacité à suivre les fonds volés est plus critique que jamais et, à mesure que les méthodes de blanchiment de la Corée du Nord évoluent, les outils sur lesquels les enquêteurs s'appuient doivent eux aussi évoluer.

Adresses identifiées dans le communiqué du FBI :

0x94f1b9b64e2932f6a2db338f616844400cd58e8a

0xba36735021a9ccd7582ebc7f70164794154ff30e

0xbda83686c90314cfbaaeb18db46723d83fdf0c83

0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e

0xff29a52a538f1591235656f71135c24019bf82e5

0x0004a76e39d33edfeac7fc3c8d3994f54428a0be

0xbcedc4f3855148df3ea5423ce758bda9f51630aa

0xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd62

0x95b6656838a1d852dd1313c659581f36b2afb237

0xa2e898180d0bc3713025d8590615a832397a8032

0xa26213638f79f2ed98d474cbcb87551da909685e