L’agence de police norvégienne Økokrim a annoncé la saisie de 60 millions de NOK (environ 5,84 millions de dollars) de crypto-monnaie volée par le groupe Lazarus en mars 2022 à la suite du piratage du pont Axie Infinity Ronin.
« Cette affaire montre que nous avons aussi une grande capacité à suivre l’argent sur la blockchain, même si les criminels utilisent des méthodes avancées », a déclaré l’agence. a dit dans un rapport.
Le développement intervient plus de 10 mois après que le département du Trésor américain ait impliqué le groupe de piratage soutenu par la Corée du Nord pour le vol de 620 millions de dollars du pont à chaînes croisées de Ronin.
Puis en septembre 2022, le gouvernement américain a annoncé la récupération de plus de 30 millions de dollars de crypto-monnaie, représentant 10% des fonds volés.
Økokrim a déclaré avoir travaillé avec des partenaires internationaux chargés de l’application de la loi pour suivre et reconstituer la piste de l’argent, rendant ainsi plus difficile pour les acteurs criminels de mener des activités de blanchiment d’argent.
« C’est de l’argent qui peut soutenir la Corée du Nord et son programme d’armes nucléaires », a-t-il ajouté. « Il a donc été important de suivre la crypto-monnaie et d’essayer d’arrêter l’argent lorsqu’ils essaient de le retirer en actifs physiques. »
Le développement intervient alors que les échanges cryptographiques Binance et Huobi ont gelé des comptes contenant environ 1,4 million de dollars en monnaie numérique provenant du piratage de juin 2022 de Harmony’s Horizon Bridge.
L’attaque, également imputée au groupe Lazarus, a permis aux acteurs de la menace de blanchir une partie des bénéfices via Tornado Cash, qui a été sanctionné par le gouvernement américain en août 2022.
« Les fonds volés sont restés dormants jusqu’à récemment, lorsque nos enquêteurs ont commencé à les voir acheminés à travers des chaînes complexes de transactions, vers des échanges », a déclaré la société d’analyse blockchain Elliptic. a dit la semaine dernière.
De plus, il y a des indications que Blender – un autre mélangeur de crypto-monnaie qui a été sanctionné en mai 2022 – pourrait avoir ressuscité sous le nom de Sinbad, blanchissant près de 100 millions de dollars en Bitcoin à partir de hacks attribués au groupe Lazarus, a déclaré Tom Robinson d’Elliptic à The Hacker News.
Selon le entrepriseles fonds détournés à la suite du braquage d’Horizon Bridge ont été « blanchis via une série complexe de transactions impliquant des échanges, des ponts inter-chaînes et des mélangeurs ».
« Tornado Cash a de nouveau été utilisé, mais à la place de Blender, un autre mixeur Bitcoin a été utilisé : Sinbad. »
Bien que le service n’ait été lancé qu’au début d’octobre 2022, on estime qu’il a facilité des dizaines de millions de dollars à Horizon et à d’autres hacks liés à la Corée du Nord.
Au cours de la période de deux mois allant de décembre 2022 à janvier 2023, le groupe d’États-nations a envoyé un total de 1 429,6 Bitcoins d’une valeur d’environ 24,2 millions de dollars au mélangeur, Chainalysis révélé plus tôt ce mois-ci.
La preuve que Sinbad est « très probablement » une nouvelle image de marque de Blender découle de chevauchements dans l’adresse de portefeuille utilisée, de leur lien avec la Russie et des points communs dans le fonctionnement des deux mélangeurs.
« L’analyse des transactions blockchain montre qu’un portefeuille Bitcoin utilisé pour payer les personnes qui faisaient la promotion de Sinbad, a lui-même reçu Bitcoin du portefeuille de l’opérateur présumé de Blender », a déclaré Elliptic.
« L’analyse des transactions blockchain montre que presque toutes les premières transactions entrantes vers Sinbad (quelque 22 millions de dollars) provenaient du portefeuille de l’opérateur présumé de Blender. »
Le créateur de Sinbad, qui s’appelle « Mehdi », dit WIRED que le service a été lancé en réponse à la « centralisation croissante de la crypto-monnaie » et qu’il s’agit d’un projet légitime légitime de préservation de la vie privée sur le modèle de Monero, Zcash, Wasabi et Tor.
Les conclusions arrivent également alors que les entités de soins de santé sont dans le collimateur d’une nouvelle vague d’attaques de ransomwares orchestrées par les acteurs de Lazarus pour générer des revenus illicites pour la nation frappée par les sanctions.
Les bénéfices tirés de ces attaques à motivation financière sont utilisés pour financer d’autres cyberactivités, notamment l’espionnage du secteur de la défense et des organisations de la base industrielle de la défense en Corée du Sud et aux États-Unis, conformément à un avis conjoint émis par les deux pays.
Mais les actions des forces de l’ordre n’ont pas encore mis un frein à la frénésie d’attaques prolifiques de l’acteur menaçant, qui a continué d’évoluer avec de nouveaux comportements.
Cela comprend un large éventail de techniques anti-légales conçues pour effacer les traces des intrusions ainsi que pour entraver l’analyse, AhnLab Security Emergency Response Center (ASEC) a révélé dans un rapport récent.
« Le groupe Lazarus a exécuté un total de trois techniques : dissimulation des données, effacement des artefacts et obscurcissement des pistes », ont déclaré des chercheurs de l’ASEC. a dit.
Poster un commentaire