L'organisation de hackers nord-coréenne a volé 3 milliards de dollars en cryptoactifs en 6 ans

Récemment, un rapport publié par une agence de sécurité informatique a révélé un fait choquant : un groupe de hackers lié à la Corée du Nord a réussi à voler jusqu'à 3 milliards de dollars en cryptoactifs au cours des 6 dernières années.

Selon un rapport, l'organisation a pillé 1,7 milliard de dollars de cryptoactifs rien qu'en 2022, et ces fonds ont probablement été utilisés pour soutenir divers projets de la Corée du Nord. Une société d'analyse de données blockchain a souligné qu'environ 1,1 milliard de dollars a été volé sur des plateformes de finance décentralisée (DeFi). Le rapport publié par le département de la Sécurité intérieure des États-Unis en septembre dernier a également souligné les attaques fréquentes de l'organisation sur les protocoles DeFi.

Cette organisation de hackers est célèbre pour le vol de fonds. En 2016, ils ont piraté la Banque centrale du Bangladesh et ont volé 81 millions de dollars. En 2018, ils ont de nouveau attaqué un échange de cryptoactifs japonais, dérobant 530 millions de dollars, et ont volé 390 millions de dollars à la Banque centrale de Malaisie.

Depuis 2017, la Corée du Nord a ciblé l'industrie du chiffrement comme principal objectif des attaques en ligne. Avant cela, ils avaient volé des fonds entre les institutions financières en détournant le réseau SWIFT. Ce comportement a suscité une vive inquiétude de la part des organismes internationaux, poussant les institutions financières à accroître leurs investissements dans la défense contre la cybersécurité.

En 2017, avec l'essor des Cryptoactifs, les Hackers nord-coréens ont déplacé leurs objectifs des finances traditionnelles vers ces nouveaux actifs numériques. Ils ont d'abord visé le marché des cryptoactifs sud-coréens, puis ont étendu leur influence à l'échelle mondiale.

En 2022, des hackers nord-coréens ont été accusés d'avoir volé environ 1,7 milliard de dollars en cryptoactifs, ce chiffre représentant environ 5 % de l'économie nationale de la Corée du Nord, ou 45 % de son budget militaire. Ce chiffre est presque dix fois le total des exportations de la Corée du Nord en 2021.

Les méthodes d'attaque des hackers nord-coréens dans l'industrie du chiffrement sont généralement similaires à celles des méthodes traditionnelles de criminalité en ligne, telles que l'utilisation de mélangeurs de cryptoactifs, les transactions inter-chaînes et les échanges de fiat en dehors des plateformes. Cependant, grâce au soutien de l'État, ils sont capables d'élargir leurs activités de vol à une échelle que les gangs de criminalité en ligne traditionnels ne peuvent atteindre.

Selon les données de suivi, environ 44 % des Cryptoactifs volés en 2022 étaient liés aux actions des hackers nord-coréens.

Les cibles des attaques des hackers nord-coréens ne se limitent pas aux échanges, mais incluent également les utilisateurs individuels, les sociétés de capital-risque ainsi que d'autres technologies et protocoles. Toutes les institutions et personnes opérant dans l'industrie du chiffrement peuvent devenir des cibles potentielles, ces actions fournissant au gouvernement nord-coréen des voies pour maintenir son opération et lever des fonds.

Les professionnels de l'industrie du chiffrement, les opérateurs d'échanges et les entrepreneurs devraient être conscients qu'ils peuvent devenir des cibles de hackers. Les institutions financières traditionnelles devraient également surveiller de près les activités des groupes de hackers nord-coréens. Une fois que les cryptoactifs sont volés et convertis en monnaie fiduciaire, les fonds seront transférés entre différents comptes pour dissimuler leur origine. En général, des identités volées et des photos modifiées sont utilisées pour contourner les mesures de lutte contre le blanchiment d'argent et la vérification de l'identité des clients.

Étant donné que les intrusions des organisations de hackers nord-coréens commencent souvent par des activités d'ingénierie sociale et de phishing, les organisations devraient former leurs employés à surveiller de telles activités et mettre en œuvre une authentification multifactorielle robuste, comme l'authentification sans mot de passe conforme aux normes FIDO2.

La Corée du Nord continuera à voler des Cryptoactifs comme principale source de revenus pour financer ses projets militaires et d'armement. Bien qu'il ne soit actuellement pas clair combien de Cryptoactifs volés sont directement utilisés pour financer les lancements de missiles, le nombre de Cryptoactifs volés et le nombre de lancements de missiles ont tous deux augmenté de manière significative ces dernières années. Sans des réglementations plus strictes, des exigences en matière de cybersécurité et des investissements dans la cybersécurité des entreprises de Cryptoactifs, la Corée du Nord continuera presque certainement à considérer l'industrie des Cryptoactifs comme une source de revenus supplémentaires pour soutenir l'État.

En juillet 2023, une entreprise de logiciels américaine a annoncé qu'un hacker soutenu par la Corée du Nord avait pénétré son réseau. Les chercheurs ont ensuite publié un rapport indiquant que le groupe responsable de cette attaque était très probablement une organisation de hackers nord-coréens axée sur les cryptoactifs. En août 2023, le Federal Bureau of Investigation des États-Unis a publié un avis selon lequel l'organisation de hackers nord-coréenne était impliquée dans plusieurs attaques, ayant dérobé un total de 197 millions de dollars en cryptoactifs. Ces fonds ont permis au gouvernement nord-coréen de continuer à fonctionner sous des sanctions internationales strictes et de financer jusqu'à 50 % du coût de son programme de missiles balistiques.

En 2017, des hackers nord-coréens ont infiltré plusieurs échanges sud-coréens, dérobant des cryptoactifs d'une valeur d'environ 82,7 millions de dollars. En juillet de la même année, après la fuite des informations personnelles d'un utilisateur d'un échange, les utilisateurs de cryptoactifs sont également devenus des cibles d'attaques.

Outre le vol de Cryptoactifs, les hackers nord-coréens ont également appris à miner des Cryptoactifs. En avril 2017, des chercheurs ont découvert qu'un logiciel de minage de jeton Monero avait été installé lors de l'intrusion d'un groupe de hackers. En janvier 2018, des chercheurs sud-coréens ont annoncé qu'une organisation nord-coréenne avait infiltré le serveur d'une entreprise durant l'été 2017 et avait miné environ 70 jetons Monero d'une valeur d'environ 25 000 dollars à l'époque.

En 2020, des chercheurs en sécurité ont continué à signaler de nouvelles cyberattaques des hackers nord-coréens contre le secteur des Cryptoactifs. Les organisations de hackers nord-coréens ont attaqué des échanges de Cryptoactifs dans plusieurs pays et ont utilisé LinkedIn comme moyen de contact initial.

L'année 2021 a été la plus active pour la Corée du Nord dans le secteur des cryptoactifs, ayant piraté au moins 7 institutions de cryptoactifs et volé pour 400 millions de dollars de cryptoactifs. De plus, les hackers nord-coréens ont commencé à cibler les jetons de type altcoin, y compris les jetons ERC-20, ainsi que les NFTs.

En janvier 2022, des chercheurs ont confirmé qu'il restait 170 millions de dollars de cryptoactifs à encaisser depuis 2017.

En 2022, les attaques notables du groupe de hackers nord-coréen ont inclus plusieurs ponts inter-chaînes, avec des pertes totales dépassant 900 millions de dollars. Ces attaques visaient particulièrement les ponts inter-chaînes reliant deux blockchains, permettant aux utilisateurs d'envoyer un jeton d'une blockchain à une autre contenant des cryptoactifs différents.

En octobre 2022, la police japonaise a annoncé que des organisations de hackers nord-coréens avaient attaqué des entreprises du secteur des Cryptoactifs opérant au Japon. Bien qu'aucun détail concret n'ait été fourni, la déclaration a indiqué que certaines entreprises avaient été victimes d'intrusions réussies et que des Cryptoactifs avaient été volés.

Entre janvier et août 2023, un groupe de hackers nord-coréens aurait volé 200 millions de dollars sur plusieurs plateformes. Lors d'une de ces attaques, le hacker aurait pu se faire passer pour un recruteur, ciblant spécifiquement les employés d'une entreprise avec des courriels de recrutement et des messages LinkedIn. La société a déclaré que le hacker avait passé 6 mois à essayer d'accéder à son réseau.

Pour prévenir les attaques des hackers nord-coréens visant les utilisateurs et les entreprises de cryptoactifs, les experts ont proposé les recommandations suivantes :

1. Activer l'authentification multifacteur (MFA) : utilisez des dispositifs matériels, comme YubiKey, pour renforcer la sécurité de votre portefeuille et de vos transactions.

2. Activez tous les paramètres MFA disponibles pour les Cryptoactifs afin de protéger au maximum votre compte contre les connexions ou le vol non autorisés.

3. Vérifiez les comptes de médias sociaux vérifiés, vérifiez si le nom d'utilisateur contient des caractères spéciaux ou des chiffres remplaçant des lettres.

4. Assurez-vous que la transaction demandée est légale, vérifiez tout airdrop ou autre activité promotionnelle gratuite de Cryptoactifs ou de NFT.

5. Lors de la réception d'airdrops ou d'autres contenus provenant de grandes plateformes, vérifiez toujours la source officielle.

6. Vérifiez toujours l'URL et observez les redirections après avoir cliqué sur le lien, pour vous assurer que le site est le site officiel et non un site de phishing.

Pour les escroqueries sur les réseaux sociaux, voici d'autres conseils de défense :

1. Soyez particulièrement prudent lors des transactions de cryptoactifs. Les actifs en cryptoactifs ne bénéficient d'aucune garantie institutionnelle pour atténuer les fraudes "traditionnelles".

2. Utilisez un portefeuille matériel. Un portefeuille matériel peut être plus sûr qu'un "portefeuille chaud" toujours connecté à Internet.

3. N'utilisez que des applications décentralisées (dApps) de confiance et vérifiez l'adresse du contrat intelligent pour confirmer son authenticité et son intégrité.

4. Vérifiez deux fois l'URL du site officiel pour éviter les imitations. Certaines pages de phishing de Cryptoactifs peuvent compter sur des erreurs d'orthographe du nom de domaine pour tromper les utilisateurs.

5. Soyez sceptique face aux offres qui semblent trop belles pour être vraies. Les pages de phishing pour le vol de Cryptoactifs attirent les victimes avec des taux de transaction de Cryptoactifs avantageux ou des frais de Gas bas pour l'interaction de la frappe de NFT.