25 hacks en 3 ans : ZachXBT revient sur le fléau Lazarus Group
Lazarus Group est un groupe de hackers nord-coréen tristement célèbre dans l’industrie. Ils sont à l’origine du hack de nombreux protocoles et exchanges crypto. Après plusieurs mois d’enquête, le crypto-enquêteur ZachXBT vient de révéler comment ces hackers ont dérobé et blanchi plus de 200 millions de dollars entre 2020 et 2023.
Lazarus Group : les hackers du régime nord-coréen
L’exchange HTX, le casino Stake.com ou encore le portefeuille Atomic Wallet, tous ont été la cible des hackers de Lazarus Group.
Ainsi, cela fait plusieurs années que ce groupe de hackers sévit dans l’écosystème crypto. Ces derniers ont aussi bien attaqué des protocoles de finance décentralisée, que des services centralisés.
Le 29 avril, après plusieurs mois d’investigation, le crypto-enquêteur ZachXBT a publié l’ensemble de ses trouvailles sur son blog. Explorons ensemble les différentes révélations apportées par son enquête.
Comme expliqué en introduction, Lazarus Group, aussi connu sous le nom de Bluenoroff ou APT38, est un groupe de hackers actif depuis 2009. Celui-ci est également lié au gouvernement nord-coréen.
Initialement actif dans le domaine des malwares et autres ransomwares, le groupe a commencé à faire parler de lui en 2014 via le hack de Sony Pictures puis en 2016 en dérobant 81 millions de dollars à la Banque du Bangladesh.
Lazarus commence à s’intéresser de près aux cryptomonnaies en 2017. Depuis, il est estimé que le groupe de hackers a dérobé pour 3 à 4,1 milliards de dollars en cryptomonnaies.
25 hacks entre 2020 et 2023
Pour son enquête, ZachXBT s’est concentré sur 25 hacks qui ont été attribués au groupe de hackers entre août 2020 et octobre 2023.
Parmi ces hacks, nous retrouvons plusieurs attaques d’envergure telles que le hack de 55 millions de dollars au protocole DeFi bZx ou encore 81 millions de dollars dérobés au fondateur de EasyFi.
2020 : les exchanges pris pour cible
Lors de ses premières attaques en 2020, Lazarus Group ciblait principalement des plateformes d’échange. Les hackers passaient les plateformes au crible à la recherche d’une faille de sécurité qui leur permettrait in fine de siphonner les fonds de la plateforme.
CoinBerry, Unibright et CoinMetro ont tous trois été la cible de ces hacks. Lazarus avait alors réussi à dérober respectivement 370, 400 et 740 000 dollars sur ces plateformes.
En parallèle, ils mènent également des attaques qui ciblent directement de riches détenteurs de cryptomonnaies. Hugh Karp, le fondateur de Nexus Mutual, a été trompé et poussé à signer une transaction malicieuse. Celle-ci a engendré la perte de 370 000 NXM, pour un total de 8,3 millions de dollars.
Un mode opératoire qui se dessine
L’année 2020 marquera l’introduction de plusieurs modes opératoires qui seront par la suite fréquemment utilisés par Lazarus.
D’une part, ils ciblent des exchanges ou protocoles DeFi à la recherche d’une faille permettant de siphonner les fonds.
De l’autre, ils ciblent de riches détenteurs de cryptomonnaies pour dérober leurs fonds. Pour cela, ils ont fréquemment recours à des versions modifiées de MetaMask. Pour cela, ils vont tout faire pour obtenir un accès à distance sur l’ordinateur de la victime afin de modifier son extension MetaMask.
Il est évident que l’usage antérieur de malwares et autres ransomwares aide le groupe de hackers à mener ce type d’attaque.
2021 : l’année la plus active du groupe
En 2021, ZachXBT a relié 12 hacks au groupe de hackers nord-coréens. Ainsi, sur les 25 hacks ayant eu lieu entre 2020 et 2023, un peu moins de la moitié se sont déroulés en 2021.
Rien qu’en une année, le groupe a dérobé pas moins de 183 millions de dollars via les 12 attaques menées. Les butins de ces hacks oscillent entre 200 000 et 81 millions de dollars.
Contrairement à 2020, en 2021, Lazarus a principalement ciblé des protocoles de finance décentralisée. Notamment le protocole bZx déployé sur Ethereum, auquel ils ont dérobé pas moins de 55 millions de dollars.
En parallèle, ils ont continué de mener des attaques ciblant des personnes physiques. Par exemple, avec le hack du fondateur de EasyFi auquel ils ont dérobé 81 millions de dollars en cryptomonnaies. Une fois n’est pas coutume, ils ont réussi à contaminer son extension MetaMask.
2022 et 2023 : des années plus calmes
Entre 2022 et 2023, les hackers de Lazarus ont mené 9 attaques répertoriées par ZachXBT. Cela fait 6 attaques en 2022 et 3 en 2023. Au total, ce sont plus de 16 millions de dollars qui ont été dérobés.
Une fois de plus, ces attaques ont ciblé deux catégories : les protocoles DeFi et des détenteurs de cryptomonnaies.
Dans le cadre des détenteurs de cryptomonnaies, Lazarus a toujours recours au phishing et au social engineering pour infecter ses victimes.
Les méthodes de blanchiment des fonds
Après avoir mené une attaque, Lazarus Group doit blanchir ses fonds. Pour cela, ils ont fréquemment recours au même mode opératoire. Cela consiste dans un premier temps à brouiller les pistes.
En général, les hackers de Lazarus Group ont utilisé le protocole Tornado Cash pour brouiller les pistes après leurs hacks.
Toutefois, ces derniers n’ont pas utilisé le protocole en 2022. Cela coïncide avec la mise sur liste noire du protocole par le Trésor américain. Ainsi, les hackers nord-coréens ont évité le protocole alors sous surveillance par les autorités américaines.
Ces derniers ont également recours aux mixeurs plus classiques, tels que ChipMixer. Ce service permet de mélanger les dépôts de ses utilisateurs afin de casser le lien qui existe entre le déposant et les fonds qu’il dépose.
Dans un second temps, une fois qu’il est devenu compliqué de retracer les fonds dérobés, les hackers ont recours à des plateformes d’exchange peer-to-peer (P2P) pour convertir les cryptomonnaies en monnaies fiduciaires. Parmi les plateformes utilisées, nous retrouvons Paxful et Noones.
Récemment, face à la fermeture de plusieurs services de mixage, les hackers ont dû trouver de nouvelles méthodes. Ils ont ainsi fréquemment recours aux ponts cross-chain ainsi qu’à des mixeurs qui viennent remplacer ceux qui ont été mis hors ligne par les autorités.
Quelques tentatives de sauvetages
Lors de leurs attaques, il peut arriver que les hackers se retrouvent avec des stablecoins centralisés tels que l’USDT ou l’USDC.
Évidemment, Tether et Circle, les entreprises émettrices de ces stablecoins, ne sont pas restés les bras croisés. Ainsi, ces dernières vont fréquemment geler les fonds qui ont été dérobés.
D’après ZachXBT, 374 000 USDT ont été gelés par Tether en fin d’année 2023. Les autres émetteurs de stablecoins centralisés ont quant à eux gelé 3,4 millions de dollars qui avaient été dérobés.
Bien que cela permette d’endiguer un peu les attaques menées par Lazarus, cela ne représente qu’une infime partie des larcins du groupe de hackers.
En décembre 2023, Lazarus a réalisé l’un des plus gros hacks de son histoire. En effet, ils ont dérobé 112 millions de dollars à l’exchange HTX ainsi qu’au pont cross-chain Heco. Finalement, ils auront attendu mars 2024 pour commencer à blanchir les fonds, une fois de plus via Tornado Cash.