Des pirates du groupe nord-coréen Lazarus inculpés aux Etats-Unis

Le département américain de la Justice (DoJ) a inculpé trois militaires nord-coréens (RPDC) d’avoir participé à un complot criminel stupéfiant et de grande envergure qui a inclus des cyberattaques destructrices, le vol et l’extorsion de plus de 1,3 milliard de dollars d’argent et de crypto-monnaie à l’aide de multiples applications de crypto-monnaie malveillantes, et le développement et la commercialisation frauduleuse d’une plate-forme blockchain.

Dans une deuxième affaire non scellée aujourd’hui, un citoyen conjoint canadien-américain a accepté de plaider coupable à des accusations connexes de blanchiment d’argent et a admis avoir travaillé comme facilitateur de haut niveau pour de multiples stratagèmes, y compris un t-up nord-coréen de cyber-banque.

« Comme indiqué dans l’acte d’accusation d’aujourd’hui, les agents de la Corée du Nord, en utilisant des claviers plutôt que des armes à feu, voler des portefeuilles numériques de crypto-monnaie au lieu de sacs d’argent, sont les principaux voleurs de banque du monde », a déclaré le procureur général adjoint John Demers de la Division de la sécurité nationale du DoJ. « Le Ministère continuera de faire face à la cyberactivité malveillante des États-nations avec nos outils uniques et de travailler avec nos collègues organismes et la famille des nations respectueuses des normes pour faire de même », a-t-il ajouté.

« La portée de la conduite criminelle par les pirates nord-coréens a été vaste et de longue durée, et la gamme de crimes qu’ils ont commis est stupéfiante », a déclaré l’avocat américain par intérim Tracy Wilkison pour le district central de Californie. « La conduite détaillée dans l’acte d’accusation sont les actes d’un État-nation criminel qui s’est arrêté à rien pour arracher la vengeance et obtenir de l’argent pour soutenir son régime. »

L’acte d’accusation, déposé devant le tribunal de district américain de Los Angeles, s’étend sur les accusations antérieures portées par le FBI en 2018. Le directeur adjoint du FBI, Paul Abbate, a salué les efforts de l’agence, qui ont été menés en étroite collaboration avec des agences américaines et des partenaires étrangers dans le but de tenir la Corée du Nord responsable de ses cybercrimes.

« Comme le dit l’acte d’accusation d’aujourd’hui, les agents de la Corée du Nord, utilisant des claviers plutôt que des armes à feu, volant des portefeuilles numériques de crypto-monnaie au lieu de sacs d’argent, sont les principaux voleurs de banque au monde »

Les trois personnes nommées, Jon Chang-Hyok (31 ans), Kim Il (27 ans) et Park Jin-Hyok (36 ans), seraient membres d’unités du Bureau général de reconnaissance (RGB) nord-coréen, qui porte de nombreux autres noms de la communauté de la sécurité, peut-être notamment le groupe Lazarus, mais aussi l’APT38.

Leurs projets incluent l’attaque de novembre 2014 contre Sony Pictures Entertainment, menée pour se venger de la sortie du film de Seth Rogen et Evan Goldberg L’interview, qui dépeint l’assassinat du dirigeant nord-coréen; attaques contre la chaîne cinématographique américaine AMC Theatres; et une attaque subséquente en 2015 contre Mammoth Screen, la société de production derrière Poldark Poldark, qui planifiait un drame non fait channel 4 situé en Corée du Nord.

Le trio a également tenté de voler plus de 1,2 milliard de dollars à des banques en Afrique, au Bangladesh, à Malte, au Mexique et au Vietnam en piratant leurs réseaux et en envoyant des messages frauduleux par l’intermédiaire de la Society for Worldwide Interbank Financial Telecommunication (Swift), ainsi qu’un certain nombre de vols de distributeurs automatiques de billets cyber-permis, y compris le vol d’octobre 2018 de 6,1 millions de dollars de BankIslami au Pakistan.

Ils sont en outre impliqués dans la création du ransomware destructeur WannaCry 2.0 en mai 2017, qui a perturbé les services dans un tiers des fiducies du NHS et entraîné l’annulation de plus de 19 000 rendez-vous chez le médecin généraliste, coûtant au service de santé plus de 90 millions de livres sterling, ainsi que l’extorsion d’autres victimes de 2017 à 2020. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a en outre publié aujourd’hui un nouvel avis sur les logiciels malveillants utilisés.

Le groupe a également créé et déployé entre mars 2018 et septembre 2020 un certain nombre d’applications de crypto-monnaie malveillantes qui étaient en fait des portes dérobées dans les ordinateurs de leurs victimes, et qui visaient et volaient des dizaines de millions de dollars de crypto-monnaies. En outre, elle a développé et commercialisé un véhicule d’investissement soutenu par la blockchain qui, apparemment, était conçu pour permettre aux investisseurs d’acheter des intérêts dans des navires maritimes, mais qui était, en fait, un moyen pour le gouvernement nord-coréen d’obtenir du financement, de contrôler sa propre marine marchande et d’échapper aux sanctions internationales.

CISA a en outre publié aujourd’hui un nouvel avis sur les logiciels malveillants utilisés dans les crypto-heists du Groupe Lazarus, appelé AppleJeus.

Les trois hommes auraient parfois été stationnés dans d’autres pays, dont la Chine et la Russie. Ils ont été accusés d’un chef de complot en vue de commettre une fraude et d’abus informatiques, qui est passible d’une peine maximale de cinq ans de prison, et un chef d’accusation de complot en vue de commettre une fraude électronique et bancaire, qui est passible d’une peine maximale de 30 ans de prison.

Comme c’est la norme dans de tels cas, ces accusations sont des accusations, et les mises en garde standard s’appliquant à la présomption d’innocence jusqu’à preuve du contraire s’appliquent.

Les autres accusations – portées contre Ghaleb Alaumary, 37 ans, un résident de Mississauga, une banlieue de Toronto au Canada – portent sur des vols de distributeurs automatiques de billets de blanchiment d’argent, d’autres cyber-heists, des stratagèmes de compromis par courriel d’affaires (BEC) et d’autres activités frauduleuses. Alaumary a été spécifiquement impliqué dans le raid sur bankislami du Pakistan et d’autres heists contre des cibles à Malte. Il a conspiré en dernière instance avec Ramon Olorunwa Abbas, alias Ray Hushpuppi, qui avait été inculpé dans un précédent acte d’accusation du BEC. Comme nous l’avons déjà dit, Alaumary a accepté de plaider coupable à un chef de complot en vue de commettre un blanchiment d’argent.

Suite aux accusations et aux nouveaux avis de sécurité annoncés aujourd’hui, le bureau du procureur des États-Unis et le FBI ont également obtenu des mandats de saisie autorisant le FBI à reprendre la crypto-monnaie volée par Lazarus Group à une société de services financiers basée à New York à hauteur de 1,9 m$.

« Les sanctions de juillet 2020 de l’Union européenne relatives au groupe Lazarus ont été une évolution bienvenue. Nous félicitons l’UE pour ses efforts initiaux visant à imposer des conséquences pour les cyberactivités malveillantes parrainées par l’État »

« Les allégations contenues dans l’acte d’accusation d’aujourd’hui informent et habilitent la communauté internationale afin qu’elle puisse non seulement se joindre à nous pour condamner cette activité, mais aussi l’aider à y mettre fin », a déclaré M. Demers, du MJ américain.

« À cet égard, les [EU] Juillet 2020 Les sanctions liées au Groupe Lazare ont été une évolution bienvenue. Nous félicitons l’UE pour ses efforts initiaux visant à imposer des conséquences pour les cyberactivités malveillantes parrainées par l’État.

« Toutefois, d’autres pays qui souhaitent être considérés comme des acteurs responsables sur la scène internationale doivent également intervenir. Ces conspirateurs décrits dans l’acte d’accusation d’aujourd’hui auraient parfois travaillé depuis des endroits en Chine et en Russie.

« La RPDC a également utilisé des cryptomonnaies chinoises de gré à gré et d’autres réseaux criminels pour blanchir les fonds. Tout comme les États-Unis ont perturbé la folie criminelle de la RPDC par des arrestations, des confiscations et des saisies, le moment est venu pour la Russie et la Chine, ainsi que tout autre pays dont les entités ou les ressortissants jouent un rôle dans les efforts de génération de recettes de la RPDC, de prendre des mesures », a-t-il déclaré.