
On s’en doutait déjà, c’est désormais un fait confirmé par le FBI. Les célèbres pirates nord coréens Lazarus et APT38 se cachaient bien derrière l’incroyable hack de Harmony One en juin 2022. Les hackers avaient ainsi détournés 100 millions de dollars.
Le hack de Harmony mené par le groupe Lazarus et APT38
Hier lundi 23 janvier 2023, le FBI a dévoilé l’identité du groupe responsable du piratage du protocole Harmony en juin dernier. A défaut d’être une révélation, il s’agit plutôt d’une confirmation de ce dont on se doutait déjà. Ainsi, c’est bien les groupes de hackers nord coréens Lazarus et APT38 qui sont responsables.
Le 24 juin 2022, le bridge Horizon a été compromis. Ce pont permettait le transfert de fonds entre la blockchain Harmony et les blockchains Ethereum, Bitcoin et Binance Chain. Les pirates ont ainsi pu dérober plus de 100 millions de dollars.
Plus de six mois après les faits, les pirates, à ce moment encore non identifiés officiellement, se sont attelé au blanchiment de l’argent. Le 13 janvier, ils ont commencé à déplacer 41 000 ETH volés, soit une valeur de plus de 60 millions de dollars. Pour brouiller les pistes, ils ont utilisé plus de 350 adresses différentes en quelques jours.
Les hackers ont utilisé les services de Railgun, un protocole crypto favorisant la confidentialité. Railgun permet de « mélanger » les transactions pour les rendre plus difficile à tracer.
Après leur passage sur Railgun, les fonds ont été envoyés vers trois plateformes de cryptomonnaie : Huobi, Binance et OKX. Toutefois, les exchanges ont pu détecter ces mouvements de fonds suspects. Le PDG de Binance, Changpeng Zhao, a affirmé avoir collaboré avec Huobi pour récupérer 124 Bitcoin volés, soit 2,6 millions de dollars.
Plus de 1 milliard de dollars dérobés par les hackers nord coréens
Dans les premiers jours suivants l’attaque de Harmony, les soupçons se sont vite portés sur les nord coréens. En effet, des analystes ont reconnu la « patte » du groupe Lazarus après avoir repéré des similarités avec d’autres forfaits précédemment commis par le groupe.
Le gouvernement américain, de son côté, s’était déjà exprimé sur la menace représentée pas le groupe Lazarus. Toutefois, jusque là il n’avait pas formellement attribué le hack de Harmony à ces pirates.
Mais les mouvements de fonds volés ont permis aux autorités de remonter la trace des hackers et de confirmer les doutes. Le FBI vient donc d’identifier officiellement les pirates du bridge Horizon. Il s’agit bien de deux groupes de cybercriminels de Corée du Nord : Lazarus Group et APT38.
Le groupe Lazarus est malheureusement célèbre pour d’autres attaques du même genre. On se souvient de leur piratage du réseau Ronin en avril 2022. Cette sidechain Ethereum était notamment utilisée par le jeu play-to-earn Axie Infinity. Les hackers ont alors mis la main sur 622 millions de dollars !
Force est de constater que les hackers de Corée du Nord sont particulièrement efficaces. D’après un rapport de Associated Press, les groupes de pirates nord coréens (y compris Lazarus Group et APT38) ont dérobé pas moins de 1,2 milliards de dollars depuis 2017 !
Des hackers directement liés au régime nord coréen
Dans son communiqué, le FBI relie directement les hackers au régime nord coréen. Dès le premier paragraphe, l’agence américaine qualifie Lazarus group et APT38 de « cyberacteurs associés à la RPDC », c’est-à-dire la République Populaire Démocratique de Corée, aka la Corée du Nord.
Le FBI affirme également que ces groupes de hackers soutiennent la politique armée du pays. L’agence a confirmé sa volonté « d’identifier et de perturber le vol et le blanchiment de monnaie virtuelle par la Corée du Nord, qui est utilisée pour soutenir les programmes de missiles balistiques et d’armes de destruction massive de ce pays. ».
« Le FBI continuera à dénoncer et à combattre l’utilisation par la RPDC d’activités illicites – y compris la cybercriminalité et le vol de devises virtuelles – pour générer des revenus pour le régime. » Communiqué du FBI
Source : FBI
A lire également :
- Corée du Nord : Le vol de cryptos pour financer les missiles ?
- Entre hacks de clés privées et scam tokens, les 5 types de piratage qui ont coûté des fortunes aux investisseurs en 2022