Un rapport récent a révélé l’ampleur de la criminalité liée aux crypto-monnaies, soutenue par le gouvernement nord-coréen.
Les cybercriminels de la République populaire démocratique de Corée (RPDC) se sont affirmés comme une menace persistante avancée pour l’industrie des crypto-monnaies en 2021, a rapporté Chainalysis.
Selon la plateforme de données basée sur la blockchain, qui aide les secteurs public et privé à détecter et à prévenir l’utilisation illicite des crypto-monnaies, les pirates nord-coréens ont volé 400 millions de dollars de crypto-monnaies l’année dernière, tandis que le montant total des fonds non blanchis a atteint un niveau record (ATH).
« Lazarus Group «
Ciblant principalement les sociétés d’investissement et les échanges centralisés, les pirates nord-coréens ont lancé au moins sept attaques contre des plateformes de crypto-monnaies – extrayant près de 400 millions de dollars de crypto en 2021.
Alors que, par rapport à 2020, le nombre d’attaques a bondi de quatre à sept, la valeur extraite a augmenté de 40 %.
Hacks nord-coréens au fil du temps (Chainalysis)
Pour siphonner les fonds des portefeuilles « chauds » de ces organisations vers des adresses contrôlées par la RPDC, les cybercriminels ont utilisé des leurres de phishing, des codes d’exploitation, des logiciels malveillants et une ingénierie sociale avancée ;
Une fois que la Corée du Nord a obtenu la garde de la crypto volée, elle a utilisé des tactiques de blanchiment minutieuses pour dissimuler et encaisser les fonds.
« Ces tactiques et techniques complexes ont conduit de nombreux chercheurs en sécurité à qualifier les cyberacteurs de la RPDC de menaces persistantes avancées (APT) », note le rapport, ajoutant que cela est particulièrement vrai pour l’APT 38, alias le « Lazarus Group », dirigé par la principale agence de renseignement de la RPDC, le Bureau général de reconnaissance sanctionné par les États-Unis et l’ONU.
À partir de 2018, Lazarus Group a volé et blanchi des sommes massives de crypto-monnaies chaque année – dépassant généralement 200 millions de dollars.
« Les hacks individuels les plus réussis, l’un sur KuCoin et l’autre sur un échange de crypto-monnaies non nommé, ont chacun rapporté plus de 250 millions de dollars à eux seuls », peut-on lire dans le rapport, notant que, selon le conseil de sécurité de l’ONU, les revenus de ces hacks soutiennent les programmes d’ADM et de missiles balistiques de la Corée du Nord.
Processus de blanchiment
En 2021, en termes de valeur monétaire, l’Ethereum a représenté pour la première fois la majorité des crypto-monnaies volées par la RPDC, tandis que le Bitcoin n’en représentait que 20 %, et les jetons ERC-20 et les altcoins 22 % des fonds.
Part des fonds cryptographiques volés par type de pièce au fil du temps (Chainalysis)
La variété croissante des crypto-monnaies volées a conduit à la complexité accrue du blanchiment de crypto-monnaies de la RPDC, selon Chainalysis, qui a décomposé le processus sophistiqué en plusieurs étapes, observant une utilisation accrue de « mélangeurs » chez les pirates nord-coréens en 2021.
Ces outils logiciels permettent aux pirates de regrouper et de mélanger des crypto-monnaies provenant de milliers d’adresses et de compliquer considérablement le suivi des transactions.
Chainalysis a expliqué les tactiques actuellement utilisées en se basant sur l’une des attaques des années précédentes, qui a permis de blanchir 91,35 millions de dollars en crypto-monnaies.
En août, Liquid.com a signalé qu’un utilisateur non autorisé avait eu accès à certains des portefeuilles gérés par la bourse de crypto-monnaies. Au cours de l’attaque, 67 jetons ERC-20 différents, ainsi que des sommes importantes d’Ethereum et de Bitcoin, ont été déplacés de ces portefeuilles de crypto-monnaies vers des adresses contrôlées par une partie travaillant pour le compte de la RPDC.
Dans un processus de blanchiment typiquement utilisé, les jetons ERC-20 et les altcoins sont échangés contre de l’Ethereum sur les DEX.
« Visualisation du processus de blanchiment dans Chainalysis Reactor :
À l’étape suivante, l’Ethereum est mélangé et échangé contre du Bitcoin sur les DEX et les CEX.
Visualisation du processus de blanchiment dans le réacteur Chainalysis : Ethereum mixte déposé sur les DEX et CEX pour être échangé contre des bitcoins (Chainalysis)
Enfin, les bitcoins sont mélangés et consolidés dans de nouveaux portefeuilles, après quoi ils sont envoyés à des adresses de dépôt dans des bourses de crypto-monnaies basées en Asie.
Visualisation du processus de blanchiment : Les bitcoins sont mélangés, consolidés dans de nouveaux portefeuilles et déposés dans des services d’échange crypto-to-fiat pour le retrait (Chainalysis)
Selon le rapport, plus de 65 % des fonds volés de la RPDC ont été blanchis par des mélangeurs en 2021, contre 42 % en 2020.
Chainalysis décrit l’utilisation par la RPDC de multiples mixeurs comme une « tentative calculée d’obscurcir les origines de leurs crypto-monnaies mal acquises tout en déraillant vers le fiat ».
Pendant ce temps, les pirates de la RPDC ont recours à des plates-formes DeFi telles que DEX pour « fournir des liquidités pour un large éventail de jetons ERC-20 et d’altcoins qui pourraient ne pas être convertibles en espèces ».
Échanger ces cryptos contre de l’Ethereum ou du Bitcoin les rend non seulement plus liquides, mais ouvre un plus grand choix de mélangeurs et d’échanges.
N’étant pas dépositaires, les plateformes DeFi ne collectent souvent pas d’informations sur la connaissance du client (KYC), ce qui permet aux pirates d’utiliser leurs services sans voir leurs actifs gelés ou leurs identités exposées, selon Chainalysis.
Stockage de fonds non blanchis
« Chainalysis a identifié 170 millions de dollars de soldes courants – représentant les fonds volés de 49 piratages distincts s’étendant de 2017 à 2021 – qui sont contrôlés par la Corée du Nord mais n’ont pas encore été blanchis par des services », peut-on lire dans le rapport.
Le rapport a révélé des soldes massifs non blanchis datant d’au moins six ans – environ 35 millions de dollars du total des avoirs de la RPDC proviennent d’attaques menées en 2020 et 2021, tandis que plus de 55 millions de dollars proviennent d’attaques menées en 2016.
Soldes détenus par la RPDC par année d’attaques (Chainalysis)
On ne sait pas exactement pourquoi les pirates conservent ces fonds, mais il se peut qu’ils espèrent que l’intérêt des forces de l’ordre pour ces affaires se dissipe, afin de pouvoir encaisser sans être surveillés », peut-on lire dans le rapport, qui ajoute que, quelle que soit la raison, « la durée pendant laquelle la RPDC est disposée à conserver ces fonds est éclairante car elle suggère un plan prudent, et non un plan désespéré et précipité ».
