Tổ chức Hacker Lazarus đã đánh cắp 147,5 triệu đô la Mỹ và tấn công nhiều lần vào các sàn giao dịch mã hóa.

Gần đây, một báo cáo bí mật đã tiết lộ các hoạt động tấn công mạng quy mô lớn của tổ chức hacker Lazarus Group ở Triều Tiên. Tổ chức này đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái và đã rửa tiền 147,5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.

Các nhà điều tra đã báo cáo với Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc rằng họ đang điều tra 97 vụ tấn công mạng nghi ngờ của hacker Bắc Triều Tiên nhằm vào các công ty Tài sản tiền điện tử diễn ra từ năm 2017 đến năm 2024, với số tiền khoảng 3,6 tỷ USD. Trong số đó có vụ tấn công vào một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, dẫn đến việc 147,5 triệu USD bị đánh cắp và hoàn thành việc rửa tiền vào tháng 3 năm nay.

Năm 2022, Mỹ đã áp đặt lệnh trừng phạt đối với nền tảng tiền ảo này. Năm sau, hai đồng sáng lập của nó bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó có các tổ chức tội phạm mạng liên quan đến Triều Tiên như nhóm Lazarus.

Theo một cuộc khảo sát của một chuyên gia phân tích Tài sản tiền điện tử, Nhóm Lazarus đã Rửa tiền 200 triệu USD Tài sản tiền điện tử thành tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Nhóm Lazarus từ lâu đã bị cáo buộc tiến hành các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ trải rộng trên toàn cầu, từ hệ thống ngân hàng đến sàn giao dịch tiền ảo, từ các cơ quan chính phủ đến các doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thực hiện những cuộc tấn công này thông qua các chiến lược và kỹ thuật phức tạp.

Tấn công kỹ thuật xã hội và lừa đảo trực tuyến của nhóm Lazarus

Theo báo cáo, Lazarus đã nhằm vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội để lừa đảo nhân viên. Họ yêu cầu các ứng viên tải xuống PDF có chứa tệp thực thi, từ đó thực hiện tấn công lừa đảo.

Các cuộc tấn công kỹ thuật xã hội và lừa đảo trực tuyến này sử dụng thao túng tâm lý để lừa đảo nạn nhân giảm cảnh giác, thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp, từ đó đe dọa an ninh hệ thống. Phần mềm độc hại của họ có khả năng khai thác lỗ hổng trong hệ thống của nạn nhân để đánh cắp thông tin nhạy cảm.

Lazarus vẫn đang sử dụng phương pháp tương tự trong hành động kéo dài sáu tháng đối với một nhà cung cấp dịch vụ thanh toán tiền điện tử nào đó, dẫn đến việc công ty này bị đánh cắp 37 triệu USD. Trong suốt quá trình này, họ đã gửi những cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.

Nhiều vụ tấn công sàn giao dịch tài sản tiền điện tử

Ngày 24 tháng 8 năm 2020, ví của một sàn giao dịch tài sản tiền điện tử Canada đã bị đánh cắp.

Ngày 11 tháng 9 năm 2020, một dự án blockchain do rò rỉ khóa riêng đã dẫn đến việc chuyển tiền không được phép 40.000 USD trong nhiều ví do nhóm kiểm soát.

Vào ngày 6 tháng 10 năm 2020, một nền tảng giao dịch tài sản tiền điện tử đã bị xâm nhập do lỗ hổng bảo mật của ví nóng, khiến 75.000 USD tài sản mã hóa bị chuyển đi.

Đầu năm 2021, số tiền từ các sự kiện tấn công này đã được tập hợp vào cùng một địa chỉ. Sau đó, kẻ tấn công đã gửi số tiền đánh cắp đến một số địa chỉ cụ thể thông qua nhiều lần chuyển nhượng và đổi tiền.

Người sáng lập một nền tảng bảo hiểm tương trợ đã bị hacker tấn công

Vào ngày 14 tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm tương hỗ đã bị tấn công bởi hacker, thiệt hại 370.000 NXM (trị giá khoảng 8,3 triệu USD).

Quỹ bị đánh cắp đã được chuyển qua nhiều địa chỉ và đổi thành các tài sản khác. Nhóm Lazarus đã thực hiện các thao tác như làm mờ, phân tán và tập hợp quỹ qua những địa chỉ này. Một phần quỹ đã được chuyển liên chuỗi sang mạng Bitcoin, rồi quay lại mạng Ethereum, sau đó được làm mờ qua nền tảng trộn coin, cuối cùng được gửi đến nền tảng rút tiền.

Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ Hacker đã gửi hơn 2500 ETH đến một nền tảng trộn coin. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các thao tác rút tiền.

Hacker thông qua việc chuyển nhượng và đổi tiền, đã chuyển một phần tiền đến địa chỉ rút tiền tập hợp liên quan đến sự kiện trước đó.

Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một sàn giao dịch.

Từ tháng 2 đến tháng 3 năm 2023, kẻ tấn công đã gửi 2.77 triệu USDT tới địa chỉ gửi tiền của một sàn giao dịch P2P thông qua một địa chỉ cụ thể.

Từ tháng 4 đến tháng 6 năm 2023, kẻ tấn công lại gửi 8 triệu USDT tới một địa chỉ gửi tiền khác thông qua cùng một địa chỉ.

Phân tích sự kiện tấn công gần đây

Vào tháng 8 năm 2023, trong hai sự kiện hacker khác nhau, tổng cộng 1524 coin ETH đã được chuyển đến một nền tảng trộn.

Chuyển ETH đến nền tảng rửa tiền, tiền được rút ngay lập tức đến nhiều địa chỉ mới. Vào ngày 12 tháng 10 năm 2023, tiền từ những địa chỉ này được tập trung vào một địa chỉ mới.

Vào tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, đã gửi tiền đến hai địa chỉ gửi tiền cụ thể.

Tóm tắt

Nhóm Lazarus sau khi đánh cắp Tài sản tiền điện tử, chủ yếu tiến hành làm mờ nguồn tiền thông qua các thao tác chuỗi chéo và sử dụng máy trộn coin. Sau khi làm mờ, họ sẽ rút các tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào một địa chỉ gửi tiền cụ thể, sau đó được đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.

Những cuộc tấn công quy mô lớn liên tục này đang tạo ra mối đe dọa an ninh nghiêm trọng đối với ngành Web3. Các cơ quan liên quan đang theo dõi chặt chẽ động thái của băng nhóm hacker này và nỗ lực truy tìm cách thức rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc chống lại loại tội phạm này, cũng như thu hồi tài sản bị đánh cắp.