Groupe de hackers etatique lie a la Coree du Nord, actif depuis 2009.
-Classe comme Advanced Persistent Threat (APT) par les agences de renseignement occidentales.
-Rattache au Reconnaissance General Bureau (renseignement militaire nord-coreen) et au Bureau 121, l'unite de cyberguerre.
-Compose de deux sous-groupes principaux :
+Groupe de hackers étatique lié à la Corée du Nord, actif depuis 2009.
+Classé comme Advanced Persistent Threat (APT) par les agences de renseignement occidentales.
+Rattaché au Reconnaissance General Bureau (renseignement militaire nord-coréen) et au Bureau 121, l'unité de cyberguerre.
+Composé de deux sous-groupes principaux :
Sources : MITRE ATT&CK G0032, US Treasury OFAC, Kaspersky
++ Hidden Cobra + ZINC / Diamond Sleet + APT38 + Stardust Chollima + Guardians of Peace + NICKEL ACADEMY +
+Sources : MITRE ATT&CK G0032, US Treasury OFAC, Kaspersky
voles en cryptomonnaies depuis 2017 par des groupes lies a la Coree du Nord.
-Selon les estimations, les revenus issus du cybercrime representent environ 50% des rentrees en devises etrangeres de la RPDC.
-Ces fonds financent directement les programmes nucleaire et balistique.
+volés en cryptomonnaies depuis 2017 par des groupes liés à la Corée du Nord.
+Selon les estimations, les revenus issus du cybercrime représentent environ 50% des rentrées en devises étrangères de la RPDC.
+Ces fonds financent directement les programmes nucléaire et balistique.
Sources : Chainalysis 2024 Crypto Crime Report, Nations Unies
L'attaque a cible le cold wallet Ethereum de Bybit, le coffre-fort hors ligne cense etre la couche de securite ultime.
+Un cold wallet necessite plusieurs signatures (multisig) pour autoriser un transfert. En theorie, meme si un signataire est compromis, les fonds restent proteges.
-En theorie.
+Un cold wallet nécessite plusieurs signatures (multisig) pour autoriser un transfert. En théorie, même si un signataire est compromis, les fonds restent protégés.
+En théorie.
Safe{Wallet} (anciennement Gnosis Safe) est un service tiers utilise par Bybit pour gerer la signature multiple (multisig) de ses cold wallets.
-Les attaquants ont compromis l'infrastructure de Safe{Wallet} elle-meme, - pas directement les systemes de Bybit.
+Safe{Wallet} (anciennement Gnosis Safe) est un service tiers utilisé par Bybit pour gérer la signature multiple (multisig) de ses cold wallets.
+Les attaquants ont compromis l'infrastructure de Safe{Wallet} elle-même, pas directement les systèmes de Bybit.
Les signataires de Bybit ont vu une interface apparemment legitime. Ils ont approuve ce qui semblait etre une transaction de routine, mais le contenu reel de la transaction avait ete modifie cote serveur.
-Source : CoinTelegraph, Fevrier 2025
+Les signataires de Bybit ont vu une interface apparemment légitime. Ils ont approuvé ce qui semblait être une transaction de routine, mais le contenu réel de la transaction avait été modifié côté serveur.
+Source : CoinTelegraph, Février 2025
La fausse transaction approuvee par les signataires a modifie la logique du smart contract du cold wallet :
-La fausse transaction approuvée par les signataires a modifié la logique du smart contract du cold wallet :
+soit environ 1,5 milliard de dollars au cours du jour
@@ -207,9 +220,9 @@Une fois les fonds transferes, les attaquants ont lance un processus de blanchiment sophistique et rapide :
+Une fois les fonds transférés, les attaquants ont lancé un processus de blanchiment sophistiqué et rapide :
Ethereum a perdu plus de 20% de sa valeur dans les heures suivant l'annonce du hack.
-Le Bitcoin est passe sous la barre symbolique des 90 000 dollars.
+Ethereum a perdu plus de 20% de sa valeur dans les heures suivant l'annonce du hack.
+Le Bitcoin est passé sous la barre symbolique des 90 000 dollars.
+Sources : CNA, CoinTelegraph, Fevrier 2025
+Sources : CNA, CoinTelegraph, Février 2025
Bybit a declare etre reste solvable tout au long de la crise et a annonce avoir recupere une partie des fonds voles.
+L'attribution en cybersecurite est toujours delicate, mais le faisceau de preuves ici est particulierement solide.
+L'attribution en cybersécurité est toujours délicate, mais le faisceau de preuves ici est particulièrement solide.
La lecon principale de ce hack : la securite d'un systeme depend aussi de celle de ses prestataires.
+Les fonds voles ne servent pas a enrichir des individus. Ils alimentent directement les programmes nucleaire et balistique de la Coree du Nord.
-Estimations :
-Les fonds volés ne servent pas à enrichir des individus. Ils alimentent directement les programmes nucléaire et balistique de la Corée du Nord.
+La Coree du Nord dispose de peu de ressources materielles mais presente une menace asymetrique considerable dans le cyberespace.
+La Corée du Nord dispose de peu de ressources matérielles mais présente une menace asymétrique considérable dans le cyberespace.
Les sanctions internationales sont contournees par le cyberespace.
+Les sanctions internationales sont contournées par le cyberespace.
Sources : US Army report 2020, Nations Unies, Recorded Future
@@ -369,13 +392,14 @@En tant que futurs professionnels de l'informatique, comprendre ces attaques et les mecanismes de defense associes est essentiel, quelle que soit votre specialisation.
+En tant que futurs professionnels de l'informatique, comprendre ces attaques et les mécanismes de défense associés est essentiel, quelle que soit votre spécialisation.