Les pirates de la Corée du Nord ont amassé un important butin en s’attaquant à des protocoles du monde des cryptomonnaies. Pour blanchir leur trésor, les hackers se sont ensuite tournés vers un nouvel outil : Sinbad.
L’an dernier, les pirates du gang Lazarus (également connu sous le nom d’APT38) ont été très actifs. Mandatés par la Corée du Nord, les hackers se sont attaqués à plusieurs services de la finance décentralisée. Ils ont notamment volé 100 millions de dollars en cryptomonnaies sur la blockchain Harmony et 624 millions de dollars sur le Ronin Network. D’après une enquête de Chainalysis, les pirates ont subtilisé un total de 1,7 milliard de dollars en cryptomonnaies dans le courant de l’année dernière.
Sans surprise, toutes les cryptomonnaies volées ont été promptement blanchies, avant d’être reversées au gouvernement de Kim Jong-Un. La blockchain montre que Lazarus s’est appuyé sur un service de mixage pour anonymiser les transactions et compliquer la tâche des autorités.
Ce type d’outils, très apprécié des cybercriminels, mélange tous les fonds fournis par ses utilisateurs avant de les transférer sur plusieurs adresses. Les cryptomonnaies issues d’une attaque se retrouvent alors au milieu d’autres devises numériques, ce qui brouille les pistes. Il est ensuite très compliqué de remonter jusqu’à l’origine des avoirs. En échange de ce service, les mixeurs prélèvent des frais sur chaque transfert.
À lire aussi : 2022 a été l’année des piratages de cryptomonnaies… et ce sera pire en 2023
Le remplaçant de Tornado Cash
Les experts de Chainalysis ont découvert que le gang a fait transiter une grande partie des bitcoins volés sur Sinbad.io, un mixeur ayant vu le jour l’année dernière. Les hackers se sont tournés vers ce service à la suite de l’offensive américaine contre Tornado Cash, l’un des plus importants mixeurs. L’été dernier, les États-Unis ont en effet placé le site web sur liste noire. Les adresses liées au service ont également été bloquées avec l’aide de Circle, l’entreprise qui émet le stablecoin USDC.
Les premiers transferts vers Sinbad ont été identifiés en décembre 2022, note Chainalysis. Les pirates ont envoyé des fonds stockés sur la blockchain Ethereum, dont une partie du butin provenant du hack du pont Ronin, sur le réseau Bitcoin avant de les migrer sur le mixeur. Entre décembre 2022 et janvier 2023, Lazarus a fait transiter 224 millions de dollars sur Sinbad. L’outil est devenu indispensable aux activités du gang, et, par extension, aux finances de la Corée du Nord.
Depuis son lancement en octobre 2022, Sinbad s’est imposé comme une solide alternative à Tornado Cash. Accessible sur le clear web et sur le dark web via le réseau Tor, le mixeur a progressivement fait son chemin parmi les utilisateurs en quête d’anonymat, dont les cybercriminels, notamment grâce à des publicités sur le forum Bitcoin Talk.
Contactés par Wired, plusieurs experts en sécurité estiment que Lazarus s’est tourné vers Sinbad en raison de sa nouveauté. Encore méconnu des enquêteurs de la blockchain, le mixeur n’a pas encore été longuement analysé. Les adresses de Sinbad sur la blockchain Bitcoin sont donc encore inconnues, ce qui est idéal pour blanchir des cryptomonnaies.
Très récent, Sinbad ne cumule pas beaucoup d’utilisateurs. C’est théoriquement l’un des points faibles du service. Si un mixeur ne compte pas beaucoup d’usagers, les cryptomonnaies ne sont pas mélangées avec d’importantes sommes d’argent. D’après Nick Carlsen, enquêteur chez TRM Labs, estime donc que Sinbad offre probablement un anonymat limité. Cette limitation n’est cependant pas un problème pour Lazarus, avance l’expert :
« Le mode opératoire typique des Nord-Coréens n’est pas d’obtenir le genre d’anonymat dont tout autre pirate aurait besoin. Ils essaient généralement de se donner quelques heures de répit pour effectuer la phase suivante de leur opération de blanchiment ».
L’anonymat sur la blockchain
Malgré les montants mélangés sur le mixeur, son créateur estime que Sinbad n’a absolument rien à se reprocher. Interrogé par Wired, le programmeur, qui a préféré garder l’anonymat, assure que le site n’a pas à se cacher, et c’est pourquoi il est proposé directement sur le clear web. Il assure ignorer l’origine des fonds qui sont envoyés sur Sinbad.
Le développeur explique avoir lancé Sinbad pour lutter contre la surveillance de masse en ligne et sur la blockchain. Dans ses réponses, il se dit déçu par l’évolution du monde des cryptomonnaies. Avec l’émergence des plates-formes d’échange, comme Binance, Coinbase et Crypto.com, le secteur est devenu de plus en plus centralisé.
Cette approche va à l’encontre des valeurs initialement prônées par l’industrie, comme la décentralisation, l’anonymat et le respect de la vie privée, explique le concepteur de Sinbad. Devenus de véritables banques, les exchanges de cryptomonnaies doivent se plier aux exigences des régulateurs financiers et des autorités.
« Je suis contre la surveillance totale, le contrôle des internautes, les autocraties et les dictatures. Toute personne vivante a le droit à la vie privée », déclare le créateur de Sinbad pour justifier la conception du mixeur.
Les plates-formes ne se cachent d’ailleurs pas de collaborer avec les forces de police pour combattre le blanchiment d’argent, le terrorisme ou le trafic de drogues. Le géant Binance a d’ailleurs aidé les autorités américaines à démanteler une opération d’un cartel de la drogue mexicain. C’est d’ailleurs grâce à la coopération de certains grands noms du secteur, dont Circle, que les États-Unis ont pu bloquer Tornado Cash l’an dernier. En parallèle, Alexsey Pertsev, le développeur à l’origine du mixeur, a été arrêté aux Pays-Bas. C’est pourquoi le créateur de Sinbad fait tout pour garder son identité secrète…
Source :
Wired