Les acteurs menaçants de la République populaire démocratique de Corée (RPDC) ciblent de plus en plus le secteur des cryptomonnaies comme mécanisme majeur de génération de revenus depuis au moins 2017 pour contourner les sanctions imposées contre le pays.
« Même si les déplacements à l’intérieur et à l’extérieur du pays sont fortement restreints et que sa population est isolée du reste du monde, l’élite dirigeante du régime et son cadre hautement qualifié de professionnels de l’informatique ont un accès privilégié aux nouvelles technologies et à l’information. « , la société de cybersécurité Recorded Future dit dans un rapport partagé avec The Hacker News.
« L’accès privilégié aux ressources, aux technologies, à l’information et parfois aux voyages internationaux pour un petit groupe d’individus sélectionnés et prometteurs en mathématiques et en informatique leur confère les compétences nécessaires pour mener des cyberattaques contre l’industrie des cryptomonnaies. »
Cette révélation intervient alors que le département du Trésor américain a imposé des sanctions contre Sinbad, un mélangeur de devises virtuel utilisé par le groupe Lazarus, lié à la Corée du Nord, pour blanchir des fonds mal acquis.
On estime que les acteurs de la menace du pays ont volé 3 milliards de dollars valeur des actifs cryptographiques sur le six dernières années, avec environ 1,7 milliard de dollars pillés rien qu’en 2022. La majorité de ces actifs volés sont utilisés pour financer directement les programmes d’armes de destruction massive (ADM) et de missiles balistiques du royaume ermite.
« 1,1 milliard de dollars de ce total ont été volés lors du piratage des protocoles DeFi, faisant de la Corée du Nord l’un des moteurs de la tendance au piratage DeFi qui s’est intensifiée en 2022 », a noté Chainalysis plus tôt en février.
Un rapport publié par le Département américain de la sécurité intérieure (DHS) dans le cadre de son programme d’échange analytique (AEP) plus tôt en septembre a également souligné l’exploitation des protocoles DeFi par le groupe Lazarus.
« Les plateformes d’échange DeFi permettent aux utilisateurs de passer d’une crypto-monnaie à l’autre sans que la plateforme ne prenne jamais la garde des fonds du client afin de faciliter la transition », indique le rapport. dit. « Cela permet aux cyber-acteurs de la RPDC de déterminer exactement quand transférer la cryptomonnaie volée d’un type de cryptomonnaie à un autre, ce qui rend l’attribution plus difficile à déterminer ou même à retracer. »
Le secteur des cryptomonnaies fait partie des principales cibles des acteurs nord-coréens de la cybermenace parrainés par l’État, comme en témoignent à plusieurs reprises les innombrables campagnes menées ces derniers mois.
Les pirates informatiques de la RPDC sont connus pour avoir habilement recours à des astuces d’ingénierie sociale pour cibler les employés des échanges de crypto-monnaie en ligne, puis attirer leurs victimes avec la promesse d’emplois lucratifs pour distribuer des logiciels malveillants qui accordent un accès à distance au réseau de l’entreprise, leur permettant finalement de drainer tous les actifs disponibles et déplacez-les vers divers portefeuilles contrôlés par la RPDC.
D’autres campagnes ont utilisé des tactiques de phishing similaires pour inciter les utilisateurs à télécharger des applications de crypto-monnaie trojanisées afin de voler leurs actifs, ainsi que des attaques de point d’eau (c’est-à-dire des compromissions stratégiques sur le Web) comme vecteur d’accès initial, en plus de s’engager dans arnaques aux parachutages et tapis tire.
Une autre tactique notable adoptée par le groupe consiste à utiliser des services mixtes pour dissimuler la piste financière et les efforts d’attribution du cloud. Ces services sont généralement proposés sur des plateformes d’échange de cryptomonnaies qui n’appliquent pas de politiques de connaissance de votre client (KYC) ni de réglementations anti-blanchiment d’argent (AML).
« En l’absence de réglementations plus strictes, d’exigences en matière de cybersécurité et d’investissements dans la cybersécurité pour les sociétés de crypto-monnaie, nous estimons qu’à court terme, la Corée du Nord continuera presque certainement à cibler l’industrie des crypto-monnaies en raison de son succès passé dans son exploitation comme source de revenus supplémentaires pour soutenir le régime », a conclu Recorded Future.