L’agence de police norvégienne Økokrim a annoncé la saisie de 60 millions de NOK (environ 5,84 millions de dollars) de crypto-monnaies volées par le Lazarus Group en mars 2022 à la suite du piratage du pont Axie Infinity Ronin.
« Cette affaire montre que nous avons également une grande capacité à suivre l’argent sur la blockchain, même si les criminels utilisent des méthodes avancées », a déclaré l’unité de lutte contre la criminalité basée à Oslo dans un communiqué.
Ce développement intervient plus de 10 mois après que le département du Trésor américain a impliqué le groupe de pirates informatiques soutenu par la Corée du Nord dans le vol de 620 millions de dollars sur le pont Ronin cross-chain.
En septembre 2022, le gouvernement américain a annoncé la récupération de plus de 30 millions de dollars en crypto-monnaies, soit 10 % des fonds volés.
Økokrim a déclaré avoir travaillé avec des partenaires internationaux chargés de l’application de la loi pour poursuivre et reconstituer la piste de l’argent, rendant ainsi plus difficile pour les acteurs criminels de mener des activités de blanchiment d’argent.
« Il s’agit d’argent qui peut soutenir la Corée du Nord et son programme d’armement nucléaire », a-t-il ajouté. « Il est donc important de suivre les crypto-monnaies et d’essayer d’arrêter l’argent lorsqu’ils essaient de le retirer sous forme d’actifs physiques.
Cette confiscation intervient alors que les bourses de crypto-monnaies Binance et Huobi ont gelé des comptes contenant environ 1,4 million de dollars en monnaie numérique provenant du piratage du pont Horizon d’Harmony en juin 2022.
L’attaque, également imputée au Lazarus Group, a permis aux acteurs de la menace de blanchir une partie des recettes par le biais de Tornado Cash, qui a été sanctionné par le gouvernement américain en août 2022.
« Les fonds volés sont restés dormants jusqu’à récemment, lorsque nos enquêteurs ont commencé à les voir canalisés à travers des chaînes complexes de transactions, vers des échanges », a déclaré la semaine dernière la société d’analyse de la blockchain Elliptic.
De plus, il semblerait que Blender – un autre mélangeur de crypto-monnaies sanctionné en mai 2022 – ait ressuscité sous le nom de Sinbad, blanchissant près de 100 millions de dollars en bitcoins grâce à des piratages attribués au Lazarus Group, a déclaré Tom Robinson d’Elliptic à The Hacker News.
Selon la société, les fonds détournés à la suite du vol du pont Horizon ont été « blanchis grâce à une série complexe de transactions impliquant des échanges, des ponts inter-chaînes et des mélangeurs ».
« Tornado Cash a été utilisé une fois de plus, mais à la place de Blender, un autre mélangeur de bitcoins a été utilisé : Sinbad. »
Bien que le service n’ait été lancé qu’au début du mois d’octobre 2022, on estime qu’il a facilité la circulation de dizaines de millions de dollars provenant d’Horizon et d’autres piratages liés à la Corée du Nord.
Au cours de la période de deux mois allant de décembre 2022 à janvier 2023, le groupe d’État-nation a envoyé un total de 1 429,6 bitcoins d’une valeur d’environ 24,2 millions de dollars au mixeur, a révélé Chainalysis au début du mois.
La preuve que Sinbad est « très probablement » un rebrand de Blender découle des chevauchements dans l’adresse du portefeuille utilisé, de leur lien avec la Russie et des points communs dans la façon dont les deux mixeurs fonctionnent.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Participez à notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
RÉSERVEZ VOTRE PLACE
« L’analyse des transactions de la blockchain montre qu’un portefeuille Bitcoin utilisé pour payer des individus qui ont fait la promotion de Sinbad, a lui-même reçu des bitcoins du portefeuille de l’opérateur Blender suspecté », a déclaré Elliptic.
« L’analyse des transactions de la blockchain montre que la quasi-totalité des premières transactions reçues par Sinbad (environ 22 millions de dollars) provenait du portefeuille de l’opérateur Blender suspecté. »
Le créateur de Sinbad, qui se fait appeler « Mehdi », a déclaré à WIRED que le service avait été lancé en réponse à la « centralisation croissante des crypto-monnaies » et qu’il s’agissait d’un projet légitime de préservation de la vie privée dans la lignée de Monero, Zcash, Wasabi et Tor.
« Les mélangeurs peuvent être utilisés pour préserver votre confidentialité financière, mais ce mélangeur en particulier a été utilisé principalement pour blanchir le produit des piratages perpétrés par Lazarus Group », a déclaré M. Robinson.
Ces conclusions interviennent également au moment où les établissements de santé sont dans le collimateur d’une nouvelle vague d’attaques par ransomware orchestrées par les acteurs du groupe Lazarus afin de générer des revenus illicites pour le pays frappé par des sanctions.
Les profits générés par ces attaques à motivation financière sont utilisés pour financer d’autres activités cybernétiques, notamment l’espionnage des organisations du secteur de la défense et de la base industrielle de défense en Corée du Sud et aux États-Unis, selon un avis conjoint publié par les deux pays.
Mais les actions des forces de l’ordre n’ont pas encore mis un frein à la prolifération des attaques de l’acteur de la menace, qui a continué à évoluer avec de nouveaux comportements.
Dans un rapport récent, le Centre de réponse d’urgence à la sécurité d’AhnLab (ASEC) a révélé qu’il s’agissait d’un large éventail de techniques anti-forensic conçues pour effacer les traces des intrusions et pour entraver l’analyse.
« Le groupe Lazarus a utilisé au total trois techniques : la dissimulation de données, l’effacement d’artefacts et l’obscurcissement des traces », ont déclaré les chercheurs de l’ASEC.
