Cuộc tấn công mạng và phương pháp rửa tiền của băng nhóm Hacker Lazarus Group ở Triều Tiên

Một báo cáo bí mật của Liên Hợp Quốc tiết lộ rằng vào năm ngoái, một sàn giao dịch tiền điện tử đã bị tấn công bởi Lazarus Group, dẫn đến việc 147,5 triệu đô la bị đánh cắp. Vào tháng 3 năm nay, số tiền này đã được rửa tiền thông qua một nền tảng tiền ảo nào đó.

Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ của các hacker Triều Tiên vào các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với số tiền lên tới 3.6 tỷ USD. Trong số đó có vụ trộm 147.5 triệu USD xảy ra vào cuối năm ngoái tại một sàn giao dịch tiền điện tử, số tiền này đã hoàn tất quá trình rửa tiền vào tháng 3 năm nay.

Năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với một nền tảng tiền ảo nhất định. Năm sau, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền trên 1 tỷ USD, trong đó có liên quan đến các tổ chức tội phạm mạng như Lazarus Group.

Theo một cuộc điều tra của một nhà điều tra tiền điện tử, Nhóm Lazarus đã chuyển đổi 200 triệu đô la tiền điện tử thành tiền tệ hợp pháp từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ bao gồm các hệ thống ngân hàng, sàn giao dịch tiền điện tử, cơ quan chính phủ và doanh nghiệp tư nhân trên toàn cầu. Dưới đây sẽ phân tích một vài trường hợp tấn công tiêu biểu, tiết lộ cách mà Nhóm Lazarus thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và kỹ thuật phức tạp.

Tấn công kỹ thuật xã hội và lừa đảo qua mạng của Nhóm Lazarus

Lazarus đã từng nhắm đến các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng mạng xã hội để lừa đảo nhân viên. Họ yêu cầu ứng viên tải xuống PDF có chứa tệp thực thi, từ đó thực hiện các cuộc tấn công lừa đảo.

Các cuộc tấn công kỹ thuật xã hội và lừa đảo này cố gắng lợi dụng thao túng tâm lý để dụ dỗ nạn nhân lơ là, thực hiện các thao tác đe dọa an ninh, chẳng hạn như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.

Trong một hành động kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, Lazarus đã sử dụng những phương pháp tương tự, dẫn đến việc nhà cung cấp này bị đánh cắp 37 triệu USD. Họ đã gửi các cơ hội việc làm giả cho kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng thực hiện tấn công bạo lực.

Nhiều vụ tấn công sàn giao dịch tiền điện tử

Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tiền điện tử đã bị tấn công, bao gồm một sàn giao dịch Canada, ví do một đội dự án kiểm soát và ví nóng của một sàn giao dịch. Những cuộc tấn công này đã dẫn đến việc hàng trăm nghìn đến hàng triệu đô la tài sản tiền điện tử bị đánh cắp.

Vào đầu năm 2021, số tiền bị đánh cắp đã được tập trung vào một địa chỉ cụ thể, sau đó được làm mờ thông qua một dịch vụ trộn coin nào đó. Sau đó, số tiền này đã trải qua nhiều lần chuyển nhượng và đổi tiền, cuối cùng tập trung vào các địa chỉ rút tiền của các sự kiện an ninh khác. Kẻ tấn công đã gửi số tiền bị đánh cắp đến nhiều địa chỉ gửi tiền của các sàn giao dịch tiền điện tử.

Người sáng lập nền tảng bảo hiểm tương trợ bị Hacker tấn công

Vào tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm hỗ trợ đã bị tấn công bởi hacker, mất giá trị token trị giá 8,3 triệu USD. Số tiền bị đánh cắp đã được chuyển đổi giữa nhiều địa chỉ và quy đổi thành tài sản khác. Nhóm Lazarus đã thực hiện các hoạt động như làm mờ, phân tán và tập hợp vốn qua những địa chỉ này.

Một phần tiền được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay trở lại mạng Ethereum, rồi được làm mờ thông qua nền tảng trộn tiền, cuối cùng được gửi đến nền tảng rút tiền. Vào giữa tháng 12 năm 2020, một lượng lớn Ether đã được gửi đến một dịch vụ trộn tiền nào đó. Sau đó, tiền được chuyển đến một địa chỉ cụ thể để thực hiện thao tác rút tiền.

Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch tiền điện tử nào đó. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công đã gửi hơn 11 triệu USDT đến nhiều địa chỉ gửi tiền của các nền tảng giao dịch tiền điện tử thông qua một địa chỉ cụ thể.

Các sự kiện tấn công dự án DeFi gần đây

Vào tháng 8 năm 2023, hai dự án DeFi đã bị tấn công, tổng thiệt hại vượt quá 1500 đồng Ether. Số tiền bị đánh cắp sau đó đã được chuyển đến một dịch vụ trộn tiền. Trong tháng đó, số tiền này đã được rút về một địa chỉ cụ thể.

Vào tháng 10 năm 2023, những khoản tiền này đã được tập trung vào một địa chỉ. Tháng sau, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua việc trung chuyển và trao đổi, đã gửi tiền đến nhiều địa chỉ gửi tiền của các sàn giao dịch tiền điện tử.

Tóm tắt

Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu sử dụng các hoạt động chuỗi chéo và dịch vụ trộn coin để làm mờ nguồn gốc của tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để thực hiện giao dịch rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ gửi tiền của các nền tảng giao dịch tiền điện tử cụ thể, sau đó thông qua dịch vụ giao dịch ngoài sàn để đổi tài sản tiền điện tử thành tiền pháp định.

Dưới sự tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức nghiêm trọng về an ninh. Các cơ quan liên quan đang tiếp tục theo dõi băng nhóm hacker này, theo dõi các động thái và phương thức rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại loại tội phạm này và thu hồi tài sản bị đánh cắp.