Dans le monde numérique, là où les frontières géopolitiques n'existent pas, une guerre silencieuse fait rage. Dans ce conflit, le groupe de hackers originaire de Corée du Nord, baptisé Lazarus, est devenu l'un des acteurs les plus redoutés de cette guerre invisible. Après des années d'activité, ces hackers d'élite continuent de préoccuper les plus grandes organisations de sécurité, dont le FBI. Et pour cause, l'énigmatique groupe se distingue par des vols toujours plus massifs et des ambitions inquiétantes.
Qui sont les Lazarus ?
Fondé en 2009, Lazarus, connu également sous le nom de APT38, est sûrement l'un des groupes de hackers les plus actifs du monde. Soupçonné d'être en lien avec le régime nord-coréen, ils se sont fait connaître du grand public en 2014 avec le piratage de Sony Pictures. À cette époque, la filiale du géant japonais est sur le point de sortir une comédie nommée "The Interview" dans laquelle se dresse une parodie du leader nord-coréen, Kim Jong-un. Alors que le film est sur le point de sortir, Sony Pictures va connaître une attaque sans précédent.
En démarrant leur ordinateur le 24 novembre 2014 à 7h00 du matin, des employés de Sony se retrouvent face à un écran leur indiquant que toutes leurs données ont été volées et supprimées des serveurs de l'entreprise. Le message signé par le groupe GOP, pour Guardians of Peace, indique également que s'ils "n'obéissent" pas, alors les films et autres données confidentielles seront publiés le soir même. Au total, le préjudice a coûté près de 30 millions de dollars à Sony.
Ce premier cas attribué par plusieurs experts au groupe "Lazarus" n'était finalement qu'une mise en bouche. En effet, au fil du temps, le groupe de hackers a sévi dans de multiples domaines, mais s'est principalement concentré sur un secteur bien spécifique.
Lazarus : le fléau du Bitcoin et de la cryptomonnaie
Lazarus a rapidement identifié les cryptomonnaies comme un moyen efficace de financer leurs opérations et d'échapper aux sanctions internationales. On attribue notamment à Lazarus le vol de plus de 3 milliards de dollars en cryptomonnaie depuis 2018. Rien qu'en 2022, ils auraient dérobé 625 millions de dollars sur la blockchain Ronin du jeu NFT Axie Infinity.
Ils sont aussi suspectés d'avoir orchestré le récent hack de la bourse de cryptomonnaies CoinEx, emportant avec eux 55 millions de dollars d'actifs. Plus récemment, le FBI leur a également attribué le hack de la plateforme de casino en ligne Stake survenu le 4 septembre dernier. Au total, près de 41 millions de dollars en diverses cryptomonnaies auraient été dérobés et envoyés à des portefeuilles suspectés d'appartenir au fameux groupe de hackers.
Le FBI traque Lazarus sans relâche
Loin d'être des amateurs, les membres de Lazarus sont des experts en cybercriminalité avec des moyens techniques qui déconcertent les plus grandes organisations de sécurité. Le groupe est vraisemblablement divisé en plusieurs sous-entités, chacune spécialisée dans un domaine précis, allant du renseignement stratégique à la criminalité financière. En septembre 2021, les renseignements britanniques faisaient état de plus de 6 000 hackers établis dans plusieurs régions du monde travaillant pour cette organisation cybercriminelle. Ceux-ci utilisent diverses techniques pour exploiter des failles, lesquelles sont généralement :
- Des hameçonnages (phishing)
- Des infections avec des logiciels malveillants
- Des attaques brute-force
Toutefois, malgré leur coup d'avance, le FBI semble de plus en plus au fait des agissements de Lazarus. Et pour cause, la blockchain (la technologie derrière les cryptomonnaies) permet aux autorités de traquer les transferts suspects sur le réseau. En effet, bien qu'anonymes, les réseaux de cryptomonnaies sont dotés d'un registre anonyme dans lequel chaque transaction est répertoriée.
Si à première vue le FBI semble impuissant, ses informations peuvent permettre à ces autorités de bloquer parfois les fonds avant que ceux-ci ne disparaissent. Pour ce faire, les agents fédéraux du pays travaillent en étroite collaboration avec des géants du secteur qui peuvent prendre des mesures exceptionnelles comme le gel des fonds afin que les actifs soient inutilisables. Le FBI a même publié une liste noire d'adresses Bitcoin (BTC) suspectes pour alerter les plateformes d'échange et le grand public. Avec cette technique, le FBI a d'ailleurs réussi à récupérer 30 millions de dollars en cryptomonnaies dérobés lors du piratage d'Axie Infinity survenu en 2022.
Les motivations préoccupantes de Lazarus
Les sanctions internationales ont isolé le pays, le privant de ressources financières essentielles. Ainsi, les cryptomonnaies, échappant partiellement à la réglementation, offrent une solution idéale pour contourner ces sanctions.
Si cette traque des fonds volés est essentielle aux yeux des autorités, c'est pour une raison inquiétante. Les activités du groupe Lazarus ne seraient pas seulement motivées par l'appât du gain. Les autorités américaines suggèrent que derrière ces attaques se cache une stratégie bien orchestrée visant à financer le programme nucléaire de la Corée du Nord. Selon un rapport du Wall Street Journal, l'argent récolté aurait permis de financer 50% de l'arsenal nucléaire du pays.
Aujourd'hui, le groupe de hackers Lazarus continue de représenter une menace persistante dans le monde numérique. Malgré les efforts des autorités internationales pour contrer les attaques du groupe, celui-ci demeure toujours doté d'un temps d'avance.