Arnaques et piratages

Points clés

• Le groupe Lazarus est une équipe de pirates informatiques soutenue par l'État nord-coréen responsable de cybercasses de plusieurs milliards de dollars. Leurs opérations financent les programmes de missiles et nucléaires du pays.
• Lazarus utilise des logiciels malveillants personnalisés, des vulnérabilités zero-day et des campagnes de spear-phishing pour infiltrer des institutions financières, des bourses de cryptomonnaies et des agences gouvernementales.
• Les attaques notables incluent le piratage de 1,5 milliard de dollars de Bybit (2025), la violation de 625 millions de dollars de Ronin Bridge (2022) et le vol de 101 millions de dollars de la Banque du Bangladesh (2016).
• Le groupe utilise la diversion, les portes de derrière, les techniques anti-forensiques et les essuie-glaces pour dissimuler leurs traces et maintenir un accès à long terme aux réseaux compromis.

L'attaque crypto de Bybit du 21 février 2025 a de nouveau mis en lumière le tristement célèbre groupe Lazarus, "crédité" d'une série d'attaques dévastatrices contre des entreprises crypto. Depuis 2017, le groupe Lazarus a volé environ 6 milliards de dollars à l'industrie crypto,selonà la société d'analyse blockchain Elliptic. Pas étonnant que Lazarus ait gagné le titre de super-vilain dans la cryptographie.

En tant que l'une des organisations de cybercriminels les plus prolifiques de l'histoire, le Groupe Lazarus utilisetechniques de piratage avancéeset souvent des opérateurs de première ligne en col blanc, indiquant un soutien total de l'État.

Cela soulève des questions critiques sur le groupe Lazarus, leur exécution de l'attaque complexe de Bybit et d'autres piratages similaires, et sur la manière dont les organisations cryptographiques peuvent lutter contre cette menace croissante. Cet article explore ces problématiques et plus encore.

Origines et antécédents du groupe Lazarus

Le groupe Lazarus est un acteur de menace basé en République populaire démocratique de Corée (RPDC) ou en Corée du Nord, tristement célèbre pour l'espionnage informatique et le détournement d'argent.

Actif depuis 2009, il est associé au Bureau général de reconnaissance (RGB) du gouvernement nord-coréen, l'agence de renseignement principale de la nation. Le groupe de menace persistante avancée (APT) est connu pour avoir mené des attaques sophistiquées interplates-formes contre des institutions financières.échanges de cryptomonnaies, points de terminaison du système SWIFT, casinos et distributeurs automatiques de billets dans le monde entier.

Le lien du groupe avec l'agence nationale de renseignement suggère un parrainage de l'État. Les pirates informatiques bénéficient du patronage de l'État pour leurs activités néfastes, ce qui signifie qu'ils peuvent agir sans craindre les forces de l'ordre locales. Leurs activités visent non seulement à recueillir des renseignements, mais aussi à obtenir des fonds pour les programmes de missiles et nucléaires du pays.

Le Federal Bureau of Investigation (FBI) des États-Unis appelle le groupe Lazarus une "organisation de piratage parrainée par l'État nord-coréen". Le transfuge nord-coréen Kim Kuk-song a révélé que l'unité est connue en interne sous le nom de Bureau de liaison 414 en Corée du Nord.

Au fil des ans, le groupe Lazarus a considérablement augmenté la sophistication et l'efficacité de ses tactiques, ainsi que l'ampleur de ses activités.

Saviez-vous ? Microsoft Threat Intelligence a identifié une équipe de pirates informatiques connue sous le nom de « Sapphire Sleet » comme un groupe de menace nord-coréen largement impliqué dans le vol de crypto-monnaie et l'infiltration d'entreprises. Le terme « sleet » indique les liens nord-coréens du groupe.

Comment le groupe Lazarus opère-t-il?

En raison du parrainage de l'État, le groupe Lazarus dispose des ressources et de l'expertise pour exécuter des cyberattaques complexes. Il exécute des opérations à plusieurs niveaux, qui comprennent le développement et le déploiement de logiciels malveillants personnalisés et l'exploitation de vulnérabilités zero-day. Le terme "vulnérabilité zero-day" fait référence à une faille de sécurité dans un logiciel ou un matériel non connue du développeur. Cela signifie qu'il n'y a ni correctif ni préparation.

Une caractéristique du groupe Lazarus est la création de logiciels malveillants sur mesure, tels que MagicRAT et QuiteRAT, conçus pour infiltrer et contrôler des systèmes ciblés. Ils sont également connus pour profiter de failles de sécurité jusqu'alors inconnues pour pénétrer des systèmes avant que des correctifs ne soient disponibles.

L'ingénierie sociale est un autre élément critique de leur stratégie. Il s'agit de pirates informatiques utilisant les émotions pour tromper les utilisateurs et les persuader d'effectuer une action spécifique, comme partager des données cruciales. Le groupe Lazarus mène des attaques ciblées-campagnes de phishing, qui envoie des e-mails frauduleux à des individus innocents en se faisant passer pour leur réseau afin de les inciter à révéler des informations confidentielles.

Leuradaptabilité et techniques évolutivesrendre le groupe Lazarus une menace persistante et redoutable dans le paysage mondial de la cybersécurité.

Les meilleurs cambriolages du groupe Lazarus

Au fil des ans, il y a eu toute une série de cyberattaques impliquant le groupe Lazarus. Voici quelques vols importants exécutés par le groupe :

Vols de crypto-monnaie

1. Bybit (février 2025)

Bybit, une bourse de cryptomonnaies basée à Dubaï,a subi une énorme violation de sécurité, perdant 1,5 milliard de dollars d'actifs numériques en février 2025, ce qui en fait le plus important vol de crypto à ce jour.

L'attaque a ciblé l'interface SafeWallet utilisée par les dirigeants de Bybit pour exécuter les transactions frauduleuses. Les fonds volés, principalement en Ether, ont rapidement été dispersés dans plusieurs portefeuilles etliquidé via différentes plateformesLe PDG de Gate.io, Ben Zhou, a rassuré les utilisateurs que les autres portefeuilles froids sont restés sécurisés et que les retraits fonctionnaient normalement.

Les sociétés d'analyse de la blockchain, y compris Elliptic et Arkham Intelligence, ont retracé les actifs volés et ont finalement attribué l'attaque au groupe Lazarus soutenu par l'État nord-coréen. La violation a déclenché une vague de retraits de la part de Bybit, incitant l'échange à sécuriser un prêt-pont pour couvrir les pertes.

2. WazirX (Juillet 2024)

En juillet 2024, WazirX, la plus grande bourse de cryptomonnaie en Inde, a subi une importante violation de sécurité entraînant la perte d'environ 234,9 millions de dollars d'actifs numériques. L'attaque, attribuée au groupe Lazarus de Corée du Nord, a impliqué des techniques de phishing sophistiquées et une exploitation de l'API.

Les pirates ont manipulé le système de portefeuille multisignature de WazirX, en obtenant un accès non autorisé aux portefeuilles chauds et froids. Cette violation a conduit à la suspension des activités de trading et a entraîné des défis juridiques, y compris une action en justice de la part de la bourse concurrente CoinSwitch cherchant à récupérer 9,65 millions de dollars de fonds bloqués.

En janvier 2025, la Haute Cour de Singapour a approuvé le plan de restructuration de WazirX, permettant à la société de rencontrer les créanciers pour discuter des stratégies de récupération d'actifs.

3. Stake.com (septembre 2023)

En septembre 2023, le groupe a violé Stake.com, une plateforme de paris sur les crypto-monnaies, en obtenant et en utilisant des données voléesclés privées. Cela leur a permis de siphonner 41 millions de dollars à travers divers réseaux blockchain.

Le FBI américainattribuéce vol au groupe Lazarus, également connu sous le nom d'APT38. Les actifs volés ont été retracés à travers plusieurs réseaux blockchain, notamment Ethereum, BNB Smart Chain et Polygon.

4. CoinEx (septembre 2023)

Plus tard en septembre 2023, CoinEx, une bourse de cryptomonnaie mondiale, a signalé des transactions non autorisées entraînant des pertes estimées à 54 millions de dollars.

Les enquêtes menées par des analystes de la blockchain, y compris l'analyste onchain ZachXBT,schémas de portefeuille révélés et comportements sur chaînelien entre cette violation et le piratage précédent de Stake.com, suggérant un effort coordonné du groupe Lazarus.

5. CoinsPaid et Alphapo (juillet 2023)

Le 22 juillet 2023, CoinsPaid a été victime d'une cyberattaque minutieusement planifiée qui a entraîné le vol de 37,3 millions de dollars. Les attaquants ont utilisé une stratégie impliquant la corruption et de fausses campagnes de recrutement ciblant le personnel clé de l'entreprise dans les mois précédant l'incident.

Pendant l'attaque, une augmentation inhabituelle de l'activité réseau a été observée, avec plus de 150 000 adresses IP différentes impliquées. Malgré la perte financière substantielle, l'équipe interne de CoinsPaid a travaillé avec diligence pour renforcer leurs systèmes, garantissant que les fonds des clients restaient inchangés et entièrement disponibles.

Le même jour, Alphapo, un fournisseur centralisé de paiement de cryptomonnaie pour diverses plateformes en ligne, a subi une violation de sécurité le 23 juillet 2023. Les premiers rapports estimaient la perte à environ 23 millions de dollars; cependant, des enquêtes ultérieures ont révélé que le montant total volé dépassait 60 millions de dollars. Les analystes de la blockchain ont attribué cette attaque au groupe Lazarus, notant que les fonds volés ont été retracés à travers plusieurs adresses et chaînes.

6. Pont de l'Horizon Harmony (juin 2022)

Le groupe Lazarus a exploité les vulnérabilités du pont Horizon de Harmony en juin 2022. Grâce à l'ingénierie sociale et à la compromission des portefeuilles multisignatures, ils se sont enfuis avec 100 millions de dollars, mettant en lumière les risques associés aux ponts inter-chaînes (facilitant les transferts d'actifs entre les réseaux tels qu'Ethereum, Bitcoin et BNB Smart Chain).

Les attaquants ont exploité des failles de sécurité, prenant le contrôle d'un portefeuille multisignature utilisé pour autoriser les transactions. Cette violation leur a permis d'aspirer environ 100 millions de dollars de diverses cryptomonnaies. Les actifs volés ont été blanchis via le mélangeur Tornado Cash, compliquant les efforts de traçage. Elliptic a été l'un des premiers à attribuer cette attaque au groupe Lazarus, une évaluation ultérieurement confirmée par le FBI en janvier 2023.

7. Pont Ronin (mars 2022)

En mars 2022, le pont Ronin, unpont inter-chaînessoutenir le jeu Axie Infinity,a subi une violation de sécurité significativeaux mains du groupe Lazarus, entraînant le vol d'environ 625 millions de dollars de cryptomonnaies.

Le réseau Ronin fonctionnait avec neuf validateurs, nécessitant au moins cinq signatures pour autoriser les transactions. Les attaquants ont réussi à prendre le contrôle de cinq clés privées, ce qui leur a permis d'approuver des retraits non autorisés.

Les pirates ont attiré un employé de Sky Mavis avec une offre d'emploi frauduleuse, leur fournissant un PDF infecté par un logiciel malveillant qui compromettait les systèmes internes de l'entreprise. Cet accès a permis aux attaquants de se déplacer latéralement dans le réseau, prenant le contrôle de quatre validateurs exploités par Sky Mavis et d'un validateur supplémentaire géré par l'AxieDAO (organisation autonome décentralisée).

Le groupe a combiné l'ingénierie sociale avec l'expertise technique pour exécuter le piratage du pont Ronin.

8. Portefeuille Atomique (2022)

Tout au long de 2022, les utilisateurs d'Atomic Wallet, une application de stockage de cryptomonnaies décentralisée, ont été victimes d'une série d'attaques orchestrées par le groupe Lazarus.

Les pirates informatiques ont déployé des logiciels malveillants personnalisés pour compromettre des portefeuilles individuels, entraînant des pertes estimées entre 35 millions de dollars et 100 millions de dollars. Elliptic a relié ces failles au groupe Lazarus en retracant les mouvements des fonds volés et en identifiant des schémas de blanchiment d'argent cohérents avec les activités précédentes du groupe.

9. Échange Bithumb (juillet 2017)

En juillet 2017, le groupe Lazarus a mené une attaque de spear-phishing contre Bithumb, l'une des plus grandes bourses de cryptomonnaies de Corée du Sud.

En infiltrant les systèmes internes de l'échange, ils ont réussi à voler environ 7 millions de dollars de cryptomonnaies. Cet incident a marqué l'une des premières et des plus remarquables intrusions du groupe dans l'industrie en plein essor des actifs numériques.

10. Échange Youbit (avril et décembre 2017)

Le groupe Lazarus a mené deux attaques importantes contre l'échange Youbit de la Corée du Sud en 2017. La première attaque en avril a impliqué l'utilisation de logiciels malveillants et de techniques de phishing, compromettant la sécurité de l'échange et entraînant des pertes d'actifs substantielles.

Une attaque ultérieure en décembre a entraîné la perte de 17 % des actifs totaux de Youbit. La pression financière causée par ces violations consécutives a contraint l'échange à la faillite, soulignant l'impact grave des activités cybernétiques du groupe sur les plateformes d'actifs numériques.

Saviez-vous? La Corée du Nord déploie des milliers de travailleurs en informatique à l'échelle mondiale, y compris en Russie et en Chine, pour générer des revenus. Ils utilisent des profils générés par l'IA et des identités volées pour obtenir des postes technologiques lucratifs, ce qui leur permet de voler la propriété intellectuelle, d'extorquer les employeurs et de transférer des fonds au régime.

Autres grands vols

1. WannaCry (mai 2017)

Le WannaCryattaque de ransomwarea été un incident majeur de cybersécurité qui a affecté des organisations du monde entier. Le 12 mai 2017, le ver ransomware WannaCry a infecté plus de 200 000 ordinateurs dans plus de 150 pays. Les principales victimes étaient FedEx, Honda, Nissan et le Service national de santé (NHS) du Royaume-Uni, qui a dû détourner des ambulances en raison de perturbations du système.

Un chercheur en sécurité a découvert un "interrupteur d'arrêt" qui a temporairement arrêté l'attaque. Mais de nombreux systèmes sont restés bloqués jusqu'à ce que les victimes aient payé la rançon ou trouvé un moyen de restaurer leurs données. WannaCry a exploité une vulnérabilité appelée "EternalBlue," une faille développée à l'origine par l'Agence de sécurité nationale américaine (NSA).

Cet exploit a ensuite été volé et divulgué par les Shadow Brokers. WannaCry visait principalement les anciens systèmes Microsoft Windows non patchés, ce qui lui permettait de se propager rapidement et de causer des dommages généralisés. L'attaque a souligné le besoin critique de mises à jour régulières des logiciels et de sensibilisation à la cybersécurité.

2. Banque du Bangladesh (février 2016)

En février 2016, la Banque du Bangladesh a été victime d'un important braquage cybernétique, les attaquants ayant tenté de voler près de 1 milliard de dollars de son compte à la Federal Reserve Bank de New York. Les auteurs, plus tard identifiés comme le Groupe Lazarus, ont infiltré les systèmes de la banque en janvier 2015 via une pièce jointe malveillante à un e-mail. Ils ont étudié les opérations de la banque, lançant finalement 35 demandes de transfert frauduleux via le réseau SWIFT.

Bien que la plupart aient été bloqués, cinq transactions totalisant 101 millions de dollars ont été réussies, avec 81 millions de dollars atteignant des comptes aux Philippines. Une erreur typographique dans une demande de transfert a éveillé des soupçons, empêchant le vol complet.

3. Sony Pictures (novembre 2014)

En novembre 2014, Sony Pictures Entertainment a été victime d'une cyberattaque importante menée par les Gardiens de la Paix, ayant des liens avec le groupe Lazarus. Les attaquants ont infiltré le réseau de Sony, accédant à de vastes quantités de données confidentielles, y compris des films non encore sortis, des informations sensibles sur les employés et des communications internes.

Le groupe a également déployé des logiciels malveillants, rendant environ 70 % des ordinateurs de Sony inutilisables. Les dommages financiers résultant de l'attaque ont été importants, Sony signalant des pertes de 15 millions de dollars, bien que d'autres estimations suggèrent que les coûts de récupération auraient pu dépasser 85 millions de dollars.

La motivation derrière l'attaque était une représailles contre la sortie prévue par Sony de The Interview, une comédie dépeignant l'assassinat du dirigeant nord-coréen Kim Jong-un.

Malgré le déni de la Corée du Nord, le gouvernement américain a officiellement attribué l'attaque aux acteurs de la menace nord-coréens, mettant en avant la capacité du groupe Lazarus à mener des opérations cybernétiques sophistiquées avec des implications géopolitiques majeures.

Saviez-vous ? En août 2024, ZachXBT a révélé que 21 développeurs nord-coréens avaient infiltré des startups de crypto, gagnant 500 000 $ par mois.

Le FBI a identifié les principaux pirates du groupe Lazarus derrière des cyberattaques majeures

Le FBI a publiquement identifié trois pirates informatiques nord-coréens suspects comme membres du groupe Lazarus.

En septembre 2018, le FBI a inculpé Park Jin Hyok, un ressortissant nord-coréen lié à Lazarus, pour son rôle présumé dans des cyberattaques majeures. Park, qui aurait travaillé pour la coentreprise Chosun Expo, une société écran nord-coréenne, a été lié au piratage de Sony Pictures en 2014 et au vol de 81 millions de dollars lors du braquage de la Banque du Bangladesh en 2016.

Le FBI a également accusé Park de son association avec l'attaque par ransomware WannaCry 2.0 de 2017, qui a perturbé des hôpitaux, y compris le NHS du Royaume-Uni. Les enquêteurs l'ont retrouvé ainsi que ses associés grâce à un code malveillant partagé, un stockage de données d'identification volé et des services de proxy dissimulant des adresses IP nord-coréennes et chinoises.

En février 2021, le département de la Justice des États-Unis a inculpé Jon Chang Hyok et Kim Il pour leur implication dans des cybercrimes mondiaux. Jon a développé et diffusé des applications crypto malveillantes pour infiltrer des institutions financières, tandis que Kim coordonnait la distribution de logiciels malveillants, des vols de crypto et l'offre initiale de pièces de Marine Chain frauduleuse.

Tactiques courantes utilisées par le groupe Lazarus

Le groupe Lazarus utilise plusieurs tactiques sophistiquées pour mener des cyberattaques, notamment des techniques de perturbation, de détournement, de lutte contre la criminalistique et de protection :

Perturbation

Lazarus mène des attaques perturbatrices en utilisantdistributed denial-of-service (DDoS)et les logiciels malveillants de type essuie-glace avec des déclencheurs temporels. Par exemple, le cheval de Troie KILLMBR efface les données du système ciblé à une date prédéfinie, tandis que QDDOS, un logiciel malveillant, efface les fichiers après l'infection. Un autre outil, DESTOVER, fonctionne comme une porte dérobée mais a également des capacités d'effacement. Ces tactiques visent à paralyser les systèmes et à les rendre inutilisables.

Détournement

Pour obscurcir leur implication, Lazarus déguise certaines attaques comme le travail de groupes fictifs comme “GOP,” “WhoAmI” et “New Romanic Army.” Ces groupes revendiquent la responsabilité de l'attaque, tandis que Lazarus est le joueur derrière le jeu. Ils pourraient défigurer des sites web avec de la propagande. Lazarus incorpore également de fausses pistes dans ses logiciels malveillants, comme l'utilisation de mots russes romanisés dans la porte dérobée KLIPOD.

Portes de derrière

Lazarus s'appuie sur des portes dérobées pour accéder de manière persistante aux systèmes compromis, déployant des outils tels que la porte dérobée Manuscrypt (NukeSped) dans des campagnes de phishing et les implants BLINDINGCAN et COPPERHEDGE contre les cibles de défense.

Techniques anti-forensiques

Pour couvrir leurs traces, Lazarus utilise plusieurs techniques anti-forensiques :

• Séparation des composants : Dans les opérations liées au sous-groupe Bluenoroff de Lazarus, il fragmente les composants de logiciels malveillants pour entraver l'analyse.
• Outils en ligne de commande : De nombreuses attaques reposent sur des portes dérobées en ligne de commande et des installateurs nécessitant des arguments spécifiques. Par exemple, l'installateur du framework Nestegg nécessite un mot de passe en tant qu'argument.
• Essuie-glaces : Lazarus utilise des essuie-glaces pour effacer les preuves de l'attaque une fois l'opération terminée. Des échantillons de DESTOVER ont été observés lors de certaines opérations de Bluenoroff.
• Suppression de journaux et d'enregistrements : Lazarus supprime les données de prefetch, les journaux d'événements et les enregistrements de la table des fichiers principaux (MFT) pour éliminer les preuves forensiques.

En combinant ces techniques, Lazarus perturbe efficacement les cibles, trompe les efforts d'attribution et dissimule ses activités.

Comment se défendre contre les attaques du groupe Lazarus

La défense contre les menaces posées par le groupe Lazarus nécessite une stratégie de sécurité globale. Les organisations doivent mettre en place plusieurs niveaux de protection pour sauvegarder leurs actifs numériques contre les cyberattaques sophistiquées.

Les mesures de défense clés que vous devez adopter incluent:

• Protection contre les attaques DDoS : Les organisations doivent déployer des stratégies de mitigation robustes pour prévenir les interruptions de service et les potentielles violations de données. Identifier et neutraliser de manière proactive de telles attaques est crucial.
• Intelligence sur les menaces: L'utilisation de renseignements sur les menaces permet de détecter et de répondre aux menaces cybernétiques, y compris les ransomwares et les attaques DDoS. Vous devez rester informé des tactiques évolutives utilisées par Lazarus pour mener leurs opérations.
• Protection des actifs : les institutions financières, les bourses de cryptomonnaies et autres cibles de grande valeur doivent sécuriser les actifs numériques critiques contre les attaques de Lazarus. Il est crucial de protéger les points d'extrémité du système SWIFT, les distributeurs automatiques de billets et l'infrastructure bancaire.
• Surveillance continue des menaces persistantes : Une surveillance continue de l'infrastructure réseau est nécessaire pour détecter et atténuer les intrusions potentielles. Les équipes de sécurité doivent s'assurer que tous les systèmes sont régulièrement mis à jour avec les derniers correctifs pour réduire les vulnérabilités.
• Solutions de sécurité multicouche : Des solutions de sécurité avancées, telles que celles intégrant l'analyse comportementale, l'apprentissage automatique et la protection contre les exploits, renforcent la défense contre les attaques ciblées. Les outils intégrant une sandbox et une protection contre les ransomwares ajoutent des couches supplémentaires de sécurité.
• Protection en temps réel : Lorsque vous êtes confronté à des attaques complexes, vous avez besoin d'une protection en temps réel contre les attaques ciblées. Vous devriez être capable de détecter les attaques ciblées n'importe où dans le réseau en utilisant des techniques intergénérationnelles pour appliquer la bonne technologie au bon moment.

Cependant, comme la technologie est un domaine en rapide évolution et que les pirates informatiques continuent de développer de nouveaux vecteurs de menace, les particuliers et les organisations doivent rester proactifs et surveiller régulièrement les menaces émergentes.

En tant que professeur Bill Buchanan, un expert de premier plan en cryptographie appliquée,met l'accent sur, « Nous devons investir massivement dans la cybersécurité ; sinon, nous nous dirigeons vers un monde protégé par George Orwell en 1984, ou un monde où nous devenons esclaves de la machine. »

Cette déclaration met en évidence les implications profondes de la négligence de la cybersécurité et la nécessité d'investir continuellement dans des mesures de protection.

Souvenez-vous, la lutte contre de tels acteurs de menace sophistiqués n'est pas une question de défense unique mais d'une stratégie continue impliquant la prévention, la détection et une réponse rapide.

Finalement, se défendre contre le groupe Lazarus exige vigilance, des outils de sécurité avancés et un engagement organisationnel à l'amélioration continue. Ce n'est qu'à travers ces efforts collectifs que les entreprises et les institutions peuvent protéger leurs actifs, maintenir la confiance et rester un pas en avant des cybercriminels.

Avertissement：

1. Cet article est repris de [GateCoinTelegraph]. Tous les droits d'auteur appartiennent à l'auteur original [Dilip Kumar Patairya]. Si vous avez des objections à cette réimpression, veuillez contacter le Porte Apprendreéquipe, et ils s'en occuperont rapidement.
2. Responsabilité de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas des conseils en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.