Soumise à de nombreuses sanctions internationales, la Corée du Nord s’est tournée vers le piratage pour récupérer des liquidités depuis plusieurs années. Selon deux rapports diffusés le 13 janvier, l’un de Chainalysis, spécialisé dans la surveillance des transactions de cryptomonnaies et Kapersky, entreprise russe de cybersécurité, l’année 2021 a été particulièrement prospère pour les hackers nord-coréens.

Les Nord-Coréens aussi adorent les cryptomonnaies

Chainalysis estime qu’environ 400 millions de dollars en cryptomonnaies ont été volés en 2021. Un rapport des Nations Unies de 2021, relayés par NBC News, rapporte que la Corée du Nord avait volé pour 316 millions de dollars d’actifs numériques en 2020.

graphique vol cyberattaque

Les cyberattaques en lien avec la Corée du Nord. Crédit : Chainalysis

Avec l’augmentation de la valeur globale des cryptomonnaies, un écosystème s’est logiquement développé autour. Il est devenu une cible de choix pour les pirates. Si beaucoup de sites mettent en place des vérifications d’identité, pour éviter le blanchiment, ce n’est pas le cas de tous. Les Nord-Coréens sont parvenus à pénétrer dans au moins sept bourses d’échanges du secteur pour dérober de l’argent.

Les techniques mobilisées sont classiques : hameçonnage et ingénierie sociale en tête. Kapersky a noté que les Nord-Coréens usurpaient des noms de société de capital-risque, pour contacter des startup de l’univers des cryptomonnaies pour les voler. L’entreprise de cybersécurité explique « si une société de capital-risque approche une startup et envoie des fichiers qui ressemblent à un contrat d’investissement ou à d’autres documents prometteurs, la startup n’hésitera pas à les ouvrir, même si un certain risque est impliqué et que Microsoft Office ajoute des messages d’avertissement ».

Ils se sont notamment fait passer pour Digital Currency Group, connue dans le secteur comme propriétaire de Grayscale Investments, le plus grand gestionnaire d’actifs en cryptomonnaie au monde. Une quinzaine d’entreprises ont vu leur identité usurpée.

Les pirates nord-coréens mobilisent également des outils plus perfectionnés. Kapersky a repéré l’usage d’un logiciel conçu pour siphonner les fonds des portefeuilles ciblés. L’entreprise en profite pour conseiller de stocker de grandes quantités de cryptomonnaies dans un portefeuille ‘froid’, avec une connexion limitée à Internet.

Le groupe Lazarus existe toujours

Pour blanchir le résultat de leurs rapines numériques, les Nord-Coréens par rapport à d’autres cybercriminels sont plus organisés et plus stratégiques. Ils lavent généralement des sommes modestes et conserve des dizaines de millions de dollars, parfois plus, en cryptomonnaie. La Corée du Nord parie également à la hausse de leur valeur.

Pour les auteurs des deux rapports, les pirates nord-coréens actifs dans le monde des cryptomonnaies seraient liés au groupe Lazarus. Ce groupe a acquis une grande notoriété dans les années 2010. Pour venger la sortie d’un film caricature sur la Corée du Nord, The Interview, il avait piraté Sony.

C’est également le groupe qui serait à l’origine du rançongiciel WannaCry, de Petya. Lazarus serait rattaché au Bureau général de reconnaissance de la Corée du Nord, l’une des branches de ses services de renseignement. Dans ces circonstances, les pirates de Lazarus semblent à l’abri de toute poursuite future.