Séparer les faits de la fiction – Cointelegraph Magazine

Séparer les faits de la fiction – Cointelegraph Magazine

Crypto aml

République populaire démocratique de Corée est largement considéré comme un État sponsor du piratage et du vol de crypto-monnaie. Alors que plusieurs présidents américains ont tenté d’étouffer la croissance du développement de l’énergie nucléaire nord-coréenne par une série de sanctions économiques, la cyberguerre est un nouveau phénomène qui ne peut être traité de manière traditionnelle.

Malheureusement pour l’industrie de la crypto, la RPDC a pris goût aux monnaies numériques et semble réussir à intensifier ses opérations de vol et de blanchiment de crypto-monnaies pour contourner les sanctions économiques paralysantes qui ont conduit à l’extrême pauvreté dans l’État paria.

Certaines preuves suggèrent que Pyongyang a accumulé plus de deux milliards de dollars américains d’attaques de ransomwares, de piratages et même de vol de crypto directement au public grâce à un éventail de techniques de phishing hautement sophistiquées. Des sources expliquent que le régime utilise diverses tactiques pour convertir les fonds volés en crypto, les anonymiser, puis les encaisser via des agents étrangers. Toutes ces activités ont reçu un nom des autorités américaines – «cobra caché».

Pour réaliser tout cela, non seulement l’opération doit être soutenue par l’État, mais de nombreuses personnes hautement formées et qualifiées doivent être impliquées dans le processus pour réussir les braquages. Alors, la RPDC a-t-elle vraiment les moyens et la capacité de s’engager dans une cyberguerre à l’échelle mondiale, alors même que les dirigeants du pays admet que le pays est dans un état de délabrement économique?

Combien exactement les pirates ont-ils volé?

2020 continue le modèle de plusieurs mises à jour sur combien d’argent les pirates informatiques soutenus par la RPDC auraient volé. Un rapport des Nations Unies de 2019 a déclaré que la Corée du Nord s’était emparée 2 milliards de dollars des échanges cryptographiques et des banques.

Le plus récent les estimations semblent indiquer que le chiffre est d’environ 1,5 $ à 2,5 milliards de dollars marque. Ces chiffres suggèrent que, bien que les données exactes soient difficiles à obtenir, les efforts de piratage sont en augmentation et rapportent plus de fonds chaque année. En outre, plusieurs rapports de nouveaux ransomwares, hacks élaborés et nouvelles méthodes de ransomwares, ne prend en charge que ces données.

Madeleine Kennedy, Le directeur principal des communications de la société de crypto-criminalistique Chainalysis a déclaré à Crypto que l’estimation la plus basse était probablement sous-estimée:

Nous sommes convaincus qu’ils ont volé plus de 1,5 milliard de dollars en crypto-monnaie. Il semble probable que la RPDC investisse dans cette activité car ces campagnes ont été très fructueuses.

Cependant, Rosa Smothers, vice-présidente principale des sociétés de cybersécurité KnowBe4 et ancienne responsable du renseignement technique de la CIA, a déclaré à Crypto que malgré le accusations récentes du ministère de la Justice des États-Unis que les pirates nord-coréens ont volé près de 250 millions de dollars à deux échanges cryptographiques, le chiffre total n’est peut-être pas aussi élevé, ajoutant: “Compte tenu de la récente admission publique de Kim Jong Un sur la situation économique lamentable du pays, 1,5 milliard de dollars me paraît surestimé.”

Comment fonctionnent les groupes de piratage?

On ne sait pas exactement comment ces groupes de piratage nord-coréens se sont organisés et où ils sont basés, car aucun des rapports ne donne une image définitive. Plus récemment, le Le département américain de la Sécurité intérieure a déclaré qu’un nouveau groupe de piratage parrainé par la RPDC, BeagleBoyz, est désormais actif sur la scène internationale. L’agence soupçonne le gang d’être une entité distincte mais affiliée au tristement célèbre groupe Lazarus, qui serait à l’origine de plusieurs cyberattaques de haut niveau. Le DHS estime que BeagleBoyz a tenté de voler près de 2 milliards de dollars depuis 2015, ciblant principalement les infrastructures bancaires telles que les guichets automatiques et le système SWIFT.

Selon Ed Parsons, directeur général de F-Secure au Royaume-Uni, «Le ‘BeagleBoyz’ semble être le nom du gouvernement américain pour un récent groupe d’activités ciblant la finance en 2019/2020», ajoutant qu’on ne sait pas si l’unité est nouvelle ou « un nouveau nom associé à une campagne initialement non attribuée qui a ensuite été associée à une activité en RPDC. » Il a en outre déclaré à Crypto que les échantillons de logiciels malveillants étaient associés à ceux sous le nom de code «cobra caché», qui est un terme utilisé par le gouvernement américain pour identifier l’activité en ligne de la RPDC.

Selon l’Agence américaine de sécurité et de sécurité des infrastructures, l’activité cachée liée au cobra a été signalée en 2009 et visait initialement à exfiltrer des informations ou à perturber les processus. Le principal vecteurs des attaques sont «les botnets DDoS, les enregistreurs de frappe, les outils d’accès à distance (RAT) et les logiciels malveillants d’essuyage», ciblant les anciennes versions des logiciels Windows et Adobe de Microsoft. Plus particulièrement, les acteurs du cobra caché utilisent l’infrastructure du botnet DDoS, connue sous le nom de DeltaCharlie, qui est associée à plus de 600 adresses IP.

John Jefferies, analyste financier en chef chez CipherTrace, une société de criminalistique blockchain, a déclaré à Crypto qu’il existe plusieurs groupes de piratage de premier plan et qu’il est extrêmement difficile de les différencier. Anastasiya Tikhonova, responsable de la recherche APT chez Group-IB, une société de cybersécurité, a fait écho au sentiment en disant que quel que soit le nom du groupe attaché, les vecteurs d’attaque sont très similaires:

«L’accès initial à des organisations financières ciblées est obtenu grâce au spear phishing – soit via des e-mails contenant un document malveillant se faisant passer pour une offre d’emploi ou via un message personnel sur les réseaux sociaux d’une personne se faisant passer pour un recruteur. Une fois activé, le fichier malveillant télécharge le NetLoader. »

De plus, plusieurs experts ont décrit les renifleurs JS comme le dernier fil à émerger, le plus souvent lié au groupe Lazarus. JS-sniffers est un code malveillant qui a été conçu pour voler des données de paiement dans de petits magasins en ligne, une attaque dans laquelle toutes les parties qui se sont engagées dans la transaction verraient leurs informations personnelles exposées.

Dans l’ensemble, les groupes de piratage semblent perfectionner l’utilisation d’un ensemble très spécifique d’outils malveillants centrés sur le phishing, dans le cadre duquel des employés inconscients de l’entreprise installent le logiciel infesté qui se propage ensuite dans le système de l’entreprise en ciblant les fonctions de base. Les exemples les plus notables d’activité suspectée sont les Piratage de Sony Pictures en 2014 et propagation du malware WannaCry en 2017.

Selon diverses sources, la plupart des attaques sont exécutées selon des normes élevées avec des preuves de longs préparatifs. Les derniers exemples de 2020 incluent un faux site Web de bot de trading conçu pour attirer les employés de l’échange crypto DragonEX qui a rapporté 7 millions de dollars en crypto.

Fin juin, un rapport a averti que le Lazarus Group cherchera à lancer une attaque spécifique au COVID-19 dans lequel les pirates se font passer pour des bureaux gouvernementaux dans des pays qui accordent une aide financière liée à la pandémie pour diriger les destinataires de courrier électronique imprudents vers un site Web malveillant qui siphonnerait des données financières et demanderait des paiements cryptographiques. De plus, les demandeurs d’emploi de l’industrie de la cryptographie semblent également être menacés, car selon un rapport récent, le les pirates utilisent des e-mails de type LinkedIn pour envoyer de fausses offres d’emploi contenant un fichier MS Word malveillant.

Les attaques contre les échanges cryptographiques sont les plus remarquables. Bien que le montant exact volé sur les plateformes de trading soit inconnu, plusieurs rapports par des entreprises de cybersécurité et divers gouvernement les agences estiment le montant estimé à bien plus d’un milliard de dollars. Cependant, la RPDC n’est soupçonnée que d’être à l’origine de certains de ces hacks et seule une poignée de cas a été retracée au régime. L’exemple le plus connu est le piratage de l’échange Coincheck basé au Japon au cours duquel 534 millions de dollars de jetons NEM ont été volés.

Fin août 2020 une déclaration du Le département américain de la Justice a décrit les détails d’une opération de blanchiment de fonds volés via crypto, qui remonte à 2019. On pense que les pirates informatiques soutenus par la Corée du Nord ont lancé le braquage avec le soutien d’un réseau de blanchiment d’argent chinois. Les deux ressortissants chinois en question ont utilisé la méthode du «peel chain» pour blanchir 250 millions de dollars à travers 280 portefeuilles numériques différents, dans une tentative de couvrir l’origine des fonds.

Selon Kennedy, les groupes de piratage liés à la RPDC sont en effet de plus en plus sophistiqués en matière de piratage et de blanchiment: «Plus précisément, ces cas ont mis en évidence leur utilisation du« saut en chaîne »ou leur échange contre d’autres crypto-monnaies telles que les coins stables. Ils convertissent ensuite les fonds blanchis en Bitcoin. » Le saut en chaîne fait référence à une méthode dans laquelle les crypto-monnaies traçables sont converties en coins de confidentialité telles que Monero ou Zcash.

S’agissant du succès apparent des pirates, Parsons estime que:

Le petit espace IP / accès à Internet en RPDC, ainsi que sa nature moins connectée aux systèmes mondiaux / en ligne, lui offrent sans doute un avantage asymétrique par rapport aux cyberopérations.

S’adressant à Crypto, Alejandro Cao de Benos, un délégué spécial du Comité pour les relations culturelles avec les pays étrangers de RPDC a réfuté les allégations selon lesquelles le pays est derrière les cyberattaques cryptographiques, déclarant qu’il s’agit d’un “grande campagne de propagande »contre le gouvernement:

«Habituellement, la RPDC est toujours présentée dans les médias comme un pays arriéré sans accès Internet ni même électricité. Mais en même temps, ils l’accusent toujours d’avoir une capacité plus élevée, une connectivité plus rapide, de meilleurs ordinateurs et experts que même les meilleures banques ou agences gouvernementales américaines. Cela n’a pas de sens uniquement d’un point de vue logique et technologique de base. »

Quelle est la taille de la cyber-force présumée et où sont-elles basées?

Un autre chiffre sur lequel divers rapports et études ne parviennent pas à s’entendre est la taille de la cyber force que le gouvernement nord-coréen soutiendrait. Plus récemment, Le rapport de l’armée américaine “Tactiques nord-coréennesa déclaré que le chiffre était de 6 000 agents, principalement répartis sur Le Bélarus, la Chine, l’Inde, la Malaisie, la Russie et plusieurs autres pays, tous unis sous la direction d’une unité de cyberguerre appelée «Bureau 121».

Parsons estime que le nombre provient très probablement d’estimations précédentes obtenues auprès d’un transfuge qui a fui la RPDC en 2004, tout en admettant que: «Le chiffre peut également avoir été généré à partir de renseignements internes américains qui ne sont pas publiquement attribuables.» Tikhonova a convenu qu’il était difficile d’évaluer la taille de la force: «Différents rapports peuvent donner un indice sur la stratégie de« recrutement »du régime», a-t-elle déclaré, poursuivant:

«Les Nord-Coréens auraient attiré des étudiants des universités. En outre, certains des hackers nord-coréens ont été recrutés alors qu’ils travaillaient pour des sociétés informatiques dans d’autres pays. Par exemple, Park Jin Hyok, un membre présumé de l’APT Lazarus recherché par le FBI, travaillait pour la société informatique Chosun Expo basée à Dalian, en Chine.

Smothers était plus sceptique quant à la conclusion du rapport, déclarant cependant que: «Cela est cohérent avec les rapports du ministère sud-coréen de la Défense qui avait, il y a quelques années à peine, estimé leur nombre à 3000», ajoutant que si quelqu’un avait de telles informations, il être la Corée du Sud. Répondre à la question de savoir comment la cyber-force définie est organisée et où elle est basée, elle a également convenu que la plupart des hackers seraient stationnés dans le monde entier “compte tenu de la bande passante limitée en Corée du Nord. »

Jefferies estime également que «les hackers nord-coréens sont basés partout dans le monde – un privilège accordé à très peu de personnes dans le pays», ajoutant que dans la plupart des cas, les hacks attribués à la Corée du Nord ne sont pas menés par des hackers-pour-compte. Tikhonova a fourni une raison possible derrière ces deux affirmations, en disant:

Il est peu probable qu’ils donnent à quelqu’un accès à leur liste de cibles potentielles ou à leurs données étant donné la sensibilité des opérations, celles-ci sont donc menées par les Nord-Coréens eux-mêmes.

Que peut-on faire pour arrêter les hackers?

Il semble que, jusqu’à présent, identifier les mouvements d’argent et découvrir certains des tiers soit la seule chose qui ait été faite avec succès – du moins en public. Un rapport by BAE Systems et SWIFT a même expliqué comment les fonds volés par le groupe Lazarus sont traités par des facilitateurs d’Asie de l’Est, échappant aux procédures de lutte contre le blanchiment d’argent de certains échanges cryptographiques.

Jeffreries pense qu’il faut faire plus à cet égard: «Les autorités doivent promulguer et appliquer des lois anti-blanchiment d’argent cryptographiques et des règles de voyage pour garantir que les transactions suspectes sont signalées.» Il a également souligné l’importance que les autorités veillent à ce que les fournisseurs de services d’actifs virtuels déploient des mesures de connaissance du client adéquates:

«Une tactique connue utilisée par les blanchisseurs d’argent professionnels soutenus par la Corée du Nord était l’utilisation de fausses coins d’identité pour créer des comptes sur plusieurs bourses. Les échanges avec des contrôles KYC plus forts ont été mieux à même de détecter ces comptes frauduleux et d’empêcher l’abus de leurs réseaux de paiement. »

Selon les informations révélées par le DOJ américain, ceux qui blanchissent l’argent cibles d’échanges avec des exigences KYC plus faibles. Bien qu’aucune plate-forme n’ait été nommée, il s’agit probablement de petites bourses opérant uniquement sur le marché asiatique. Il y a aussi le problème de l’impossibilité pour certaines autorités de prendre des mesures lorsqu’il s’agit d’entreprises qui ne sont pas sous leur juridiction, comme le souligne Smothers:

«La nature mondiale de ces échanges, ainsi que les acteurs chinois OTC (trading de crypto-monnaie de gré à gré), limitent la capacité de notre ministère de la Justice à agir rapidement. Par exemple, le DOJ a intenté une action civile en mars, mais les OTC chinois ont retiré tous les fonds des comptes cibles dans les heures qui ont suivi le dépôt du DOJ. “

Mais ce qui complique encore les choses, c’est que selon une analyse de chaine rapport à partir de 2019, ceux qui blanchissent les fonds peuvent prendre des mois, voire des années, pour terminer le processus. Selon les auteurs, les auteurs ont soutenu l’idée que les attaques étaient à but lucratif, car la crypto volée pouvait rester inactive dans les portefeuilles jusqu’à 18 mois avant d’être déplacée en raison de la peur d’être détectée.

Cependant, les chercheurs estiment que depuis 2019, les tactiques employées par les criminels ont changé pour permettre des retraits plus rapides grâce à l’utilisation intensive de mélangeurs de crypto-monnaie pour masquer la source des fonds. Kennedy a expliqué plus loin:

«Nous ne pouvons pas expliquer les raisons de leurs techniques, mais nous avons remarqué que ces acteurs déplacent souvent de l’argent d’un hack, puis s’arrêtent pour se concentrer sur le déplacement de l’argent d’un autre hack, et ainsi de suite. […] Les échanges de crypto-monnaie ont été essentiels dans les enquêtes, et les secteurs public et privé travaillent ensemble pour faire face aux menaces posées par ces pirates. »

Quelle est la gravité du problème?

Lorsqu’on parle de la RPDC, il est difficile d’éviter les thèmes des violations des droits de l’homme et du programme nucléaire que le pays aurait continue de fonctionner, malgré le durcissement des sanctions économiques.

En ce sens, le gouvernement dynastique dirigé par le chef suprême Kim Jong Un est perçu comme une menace considérable pour le monde: mais maintenant, ce n’est pas seulement à cause des aspirations nucléaires du régime. Même si les attaques de cybersécurité dans la plupart des cas ne sont pas directement nuisibles à une vie humaine, ces efforts fournissent un flux constant de revenus pour que l’État continue de renforcer ses idéaux et ses objectifs.

Mais ce qui est peut-être plus inquiétant, c’est que, selon plusieurs commentateurs cités dans cet article, les groupes de piratage qui semblent être soutenus par le régime nord-coréen continuent d’étendre et de diversifier leurs opérations car leurs méthodes se révèlent extrêmement efficaces. Jefferies, pour sa part, estime que: «Ce n’est pas une surprise qu’ils continuent à s’appuyer sur leurs cybercapacités et à y investir.»


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *