À l’intérieur de l’opération d’infiltration internationale pour attraper les pirates informatiques nord-coréens
(CNN) Une équipe d’espions sud-coréens et d’enquêteurs privés américains s’est discrètement réunie au service de renseignement sud-coréen en janvier, quelques jours seulement après que la Corée du Nord a tiré trois missiles balistiques dans la mer.
Pendant des mois, ils avaient suivi 100 millions de dollars volés à une société californienne de crypto-monnaie nommée Harmony, attendant que les pirates nord-coréens déplacent la crypto volée vers des comptes qui pourraient éventuellement être convertis en dollars ou en yuan chinois, une monnaie forte qui pourrait financer les activités illégales du pays. programme de missiles.
Le moment venu, les espions et les détectives – travaillant dans un bureau du gouvernement dans une ville, Pangyo, connue sous le nom de Silicon Valley en Corée du Sud – n’auraient que quelques minutes pour aider à saisir l’argent avant qu’il ne puisse être blanchi en toute sécurité grâce à une série de comptes et rendu intouchable.
Enfin, fin janvier, les pirates ont transféré une fraction de leur butin sur un compte de crypto-monnaie indexé sur le dollar, en abandonnant temporairement le contrôle. Les espions et les enquêteurs se sont précipités, signalant la transaction aux forces de l’ordre américaines prêtes à geler l’argent.
L’équipe de Pangyo a aidé à saisir un peu plus d’un million de dollars ce jour-là. Bien que les analystes disent à CNN que la plupart des 100 millions de dollars volés restent hors de portée dans la crypto-monnaie et d’autres actifs contrôlés par la Corée du Nord, c’est le type de saisie dont les États-Unis et leurs alliés auront besoin pour éviter de gros salaires à Pyongyang.
L’opération d’infiltration, décrite à CNN par des enquêteurs privés de Chainalysis, une société de suivi de la blockchain basée à New York, et confirmée par le service national de renseignement sud-coréen, offre une fenêtre rare sur le monde trouble de l’espionnage des crypto-monnaies – et l’effort naissant pour fermer ce qui est devenu une entreprise de plusieurs milliards de dollars pour le régime autoritaire de la Corée du Nord.
Au cours des dernières années, les pirates nord-coréens ont volé des milliards de dollars aux banques et aux entreprises de crypto-monnaie, selon des rapports des Nations Unies et d’entreprises privées. Comme les enquêteurs et les régulateurs l’ont compris, le régime nord-coréen a essayé des moyens de plus en plus élaborés pour blanchir cet argent numérique volé en devises fortes, ont déclaré des responsables américains et des experts privés à CNN.
Couper le pipeline de crypto-monnaie de la Corée du Nord est rapidement devenu un impératif de sécurité nationale pour les États-Unis et la Corée du Sud. La capacité du régime à utiliser l’argent numérique volé – ou les envois de fonds des informaticiens nord-coréens à l’étranger – pour financer ses programmes d’armement fait partie de l’ensemble régulier de produits de renseignement présentés aux hauts responsables américains, y compris, parfois, le président Joe Biden, un haut responsable américain. a déclaré l’officiel.
Kim Jong Un et sa fille assistent à un défilé militaire célébrant l’anniversaire de la fondation de l’armée nord-coréenne où les dernières armes du régime ont été exposées.
Les Nord-Coréens « ont besoin d’argent, alors ils vont continuer à être créatifs », a déclaré le responsable à CNN. « Je ne pense pas [they] vont jamais cesser de chercher des moyens illicites de glaner des fonds parce que c’est un régime autoritaire soumis à de lourdes sanctions. »
Le piratage de la crypto-monnaie de la Corée du Nord était au centre des préoccupations lors d’une réunion du 7 avril à Séoul, où des diplomates américains, japonais et sud-coréens ont publié une déclaration conjointe déplorant que le régime de Kim Jong Un continue de « verser ses rares ressources dans ses ADM ». [weapons of mass destruction] et les programmes de missiles balistiques. »
« Nous sommes également profondément préoccupés par la manière dont la RPDC soutient ces programmes en volant et en blanchissant des fonds ainsi qu’en collectant des informations par le biais d’activités cybernétiques malveillantes », indique le communiqué trilatéral, utilisant un acronyme pour le gouvernement nord-coréen.
La Corée du Nord a précédemment démenti des allégations similaires. CNN a envoyé un e-mail et appelé l’ambassade de Corée du Nord à Londres pour obtenir des commentaires.
« North Korea Inc » devient virtuel
À partir de la fin des années 2000, les responsables américains et leurs alliés ont parcouru les eaux internationales à la recherche de signes indiquant que la Corée du Nord échappait aux sanctions en faisant le trafic d’armes, de charbon ou d’autres marchandises précieuses, une pratique qui se poursuit. Maintenant, une tournure très moderne de cette compétition se déroule entre les pirates et les blanchisseurs d’argent à Pyongyang, et les agences de renseignement et les responsables de l’application des lois de Washington à Séoul.
Le FBI et les services secrets ont dirigé ce travail aux États-Unis (les deux agences ont refusé de commenter lorsque CNN leur a demandé comment elles suivaient le blanchiment d’argent nord-coréen). Le FBI a annoncé en janvier qu’il avait gelé une partie non spécifiée des 100 millions de dollars volés à Harmony. .
La succession des membres de la famille Kim qui ont dirigé la Corée du Nord au cours des 70 dernières années ont tous utilisé des entreprises publiques pour enrichir la famille et assurer la survie du régime, selon des experts.
C’est une entreprise familiale que le chercheur John Park appelle « North Korea Incorporated ».
Kim Jong Un, l’actuel dictateur nord-coréen, a « doublé ses cybercapacités et le vol de crypto en tant que générateur de revenus pour son régime familial », a déclaré Park, qui dirige le projet coréen au Belfer Center de la Harvard Kennedy School. « North Korea Incorporated est devenu virtuel. »
Par rapport au commerce du charbon sur lequel la Corée du Nord s’est appuyée pour ses revenus dans le passé, le vol de crypto-monnaie nécessite beaucoup moins de main-d’œuvre et de capital, a déclaré Park. Et les bénéfices sont astronomiques.
L’année dernière, un record de 3,8 milliards de dollars en crypto-monnaie a été volé dans le monde entier, selon Chainalysis. Près de la moitié de cette somme, soit 1,7 milliard de dollars, était le travail de pirates liés à la Corée du Nord, a indiqué la société.
La salle d’analyse conjointe du Centre national de coopération en matière de cybersécurité du Service national de renseignement en Corée du Sud.
On ne sait pas quelle part de ses milliards en crypto-monnaie volée la Corée du Nord a pu convertir en espèces sonnantes et trébuchantes. Dans une interview, un responsable du Trésor américain axé sur la Corée du Nord a refusé de donner une estimation. Le registre public des transactions blockchain aide les responsables américains à suivre les efforts des agents nord-coréens présumés pour déplacer la crypto-monnaie, a déclaré le responsable du Trésor.
Mais lorsque la Corée du Nord reçoit l’aide d’autres pays pour blanchir cet argent, c’est « incroyablement préoccupant », a déclaré le responsable. (Ils ont refusé de nommer un pays en particulier, mais les États-Unis ont inculpé en 2020 deux hommes chinois pour avoir prétendument blanchi plus de 100 millions de dollars pour la Corée du Nord.)
Les pirates informatiques de Pyongyang ont également passé au peigne fin les réseaux de divers gouvernements et entreprises étrangers à la recherche d’informations techniques clés qui pourraient être utiles à son programme nucléaire, selon un rapport privé des Nations Unies publié en février et examiné par CNN.
La répression
Un porte-parole du service national de renseignement sud-coréen a déclaré à CNN qu’il avait développé un programme de « partage rapide de renseignements » avec des alliés et des entreprises privées pour répondre à la menace et cherchait de nouvelles façons d’empêcher la contrebande de crypto-monnaie volée en Corée du Nord.
Les efforts récents se sont concentrés sur l’utilisation par la Corée du Nord de ce que l’on appelle les services de mixage, des outils accessibles au public utilisés pour masquer la source de la crypto-monnaie.
Le 15 mars, le ministère de la Justice et les forces de l’ordre européennes ont annoncé la fermeture d’un service de mixage connu sous le nom de ChipMixer, que les Nord-Coréens auraient utilisé pour blanchir un montant indéterminé des quelque 700 millions de dollars volés par des pirates informatiques lors de trois cambriolages différents – dont le Vol de 100 millions de dollars d’Harmony, la société californienne de crypto-monnaie.
Les enquêteurs privés utilisent un logiciel de suivi de la blockchain – et leurs propres yeux lorsque le logiciel les alerte – pour identifier le moment où les fonds volés quittent les mains des Nord-Coréens et peuvent être saisis. Mais ces enquêteurs ont besoin de relations de confiance avec les forces de l’ordre et les entreprises de cryptographie pour agir assez rapidement pour récupérer les fonds.
L’un des plus grands contre-mouvements américains à ce jour est survenu en août lorsque le département du Trésor a sanctionné un service de « mélange » de crypto-monnaie connu sous le nom de Tornado Cash qui aurait blanchi 455 millions de dollars pour les pirates nord-coréens.
Tornado Cash était particulièrement précieux car il disposait de plus de liquidités que d’autres services, permettant à l’argent nord-coréen de se cacher plus facilement parmi d’autres sources de fonds. Tornado Cash traite désormais moins de transactions après que les sanctions du Trésor ont forcé les Nord-Coréens à se tourner vers d’autres services de mixage.
Des agents nord-coréens présumés ont envoyé 24 millions de dollars en décembre et janvier via un nouveau service de mixage, Sinbad, selon Chainalysis, mais rien n’indique encore que Sinbad sera aussi efficace pour déplacer de l’argent que Tornado Cash.
Les personnes derrière les services de mixage, comme le développeur de Tornado Cash, Roman Semenov, se décrivent souvent comme des défenseurs de la vie privée qui soutiennent que leurs outils de crypto-monnaie peuvent être utilisés pour le meilleur ou pour le pire comme n’importe quelle technologie. Mais cela n’a pas empêché les forces de l’ordre de sévir. En août, la police néerlandaise a arrêté un autre développeur présumé de Tornado Cash, qu’elle n’a pas nommé, pour blanchiment d’argent présumé.
Les entreprises privées de crypto-suivi comme Chainalysis sont de plus en plus dotées d’anciens agents des forces de l’ordre américains et européens qui appliquent ce qu’ils ont appris dans le monde classifié pour suivre le blanchiment d’argent de Pyongyang.
Elliptic, une entreprise basée à Londres avec d’anciens agents des forces de l’ordre parmi son personnel, affirme qu’elle a aidé à saisir 1,4 million de dollars en argent nord-coréen volé dans le piratage d’Harmony. Les analystes d’Elliptic ont déclaré à CNN qu’ils avaient pu suivre l’argent en temps réel en février alors qu’il se déplaçait brièvement vers deux échanges de crypto-monnaie populaires, Huobi et Binance. Les analystes disent avoir rapidement notifié les bourses, qui ont gelé l’argent.
« C’est un peu comme des importations de médicaments à grande échelle », a déclaré Tom Robinson, co-fondateur d’Elliptic, à CNN. « [The North Koreans] sont prêts à en perdre une partie, mais la majorité passe probablement simplement en raison du volume et de la vitesse à laquelle ils le font et ils sont assez sophistiqués dans ce domaine. »
Les Nord-Coréens n’essaient pas seulement de voler des entreprises de crypto-monnaie, mais aussi directement d’autres voleurs de crypto.
Après qu’un pirate inconnu a volé 200 millions de dollars à la société britannique Euler Finance en mars, des agents nord-coréens présumés ont tenté de tendre un piège : ils ont envoyé au pirate un message sur la blockchain contenant une vulnérabilité qui aurait pu être une tentative d’accéder aux fonds. , selon Elliptique. (La ruse n’a pas fonctionné.)
Nick Carlsen, qui était un analyste du renseignement du FBI concentré sur la Corée du Nord jusqu’en 2021, estime que la Corée du Nord pourrait n’avoir que quelques centaines de personnes concentrées sur la tâche d’exploiter la crypto-monnaie pour échapper aux sanctions.
Avec un effort international pour sanctionner les échanges de crypto-monnaie voyous et saisir l’argent volé, Carlsen craint que la Corée du Nord ne se tourne vers des formes de fraude moins visibles. Plutôt que de voler un demi-milliard de dollars à un échange de crypto-monnaie, a-t-il suggéré, les agents de Pyongyang pourraient mettre en place un stratagème de Ponzi qui attire beaucoup moins l’attention.
Pourtant, même avec des marges bénéficiaires réduites, le vol de crypto-monnaie est toujours « extrêmement rentable », a déclaré Carlsen, qui travaille maintenant pour la société d’enquête sur les fraudes TRM Labs. « Donc, ils n’ont aucune raison d’arrêter. »
Gawon Bae de CNN à Séoul et Richard Roth à New York ont contribué à ce rapport.