Phân tích phương pháp tấn công của tổ chức Hacker Lazarus Group Triều Tiên và cách Rửa tiền

Gần đây, một báo cáo mật của Liên Hợp Quốc đã tiết lộ rằng một nhóm Hacker đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái và vào tháng 3 năm nay đã rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo.

Theo thông tin, các thanh tra đang điều tra 97 vụ tấn công mạng nghi ngờ nhắm vào các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với số tiền liên quan khoảng 3,6 tỷ USD. Trong số đó có vụ đánh cắp 147,5 triệu USD từ một sàn giao dịch tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình rửa tiền vào tháng 3 năm nay.

Năm 2022, Mỹ đã áp đặt các biện pháp trừng phạt đối với một nền tảng trộn coin. Năm sau, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó có liên quan đến các tổ chức tội phạm mạng có liên quan đến Triều Tiên.

Một cuộc khảo sát của một nhà phân tích tiền điện tử cho thấy, tổ chức hacker này đã rửa 200 triệu đô la giá trị tiền điện tử thành tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Tổ chức hacker này đã bị cáo buộc từ lâu về việc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ trải dài khắp toàn cầu, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ cơ quan chính phủ đến doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà tổ chức hacker này thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và phương pháp công nghệ phức tạp.

Kỹ thuật xã hội và tấn công lừa đảo

Theo các phương tiện truyền thông châu Âu, tổ chức này đã nhắm đến các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng trên các nền tảng xã hội để lừa đảo nhân viên, yêu cầu ứng viên tải xuống các tệp PDF chứa tệp thực thi, từ đó thực hiện các cuộc tấn công lừa đảo.

Hình thức tấn công này cố gắng lợi dụng thao túng tâm lý, lừa gạt nạn nhân hạ thấp cảnh giác, thực hiện các hành động như nhấp vào liên kết hoặc tải xuống tệp, từ đó đe dọa an toàn hệ thống. Hacker nhắm vào các lỗ hổng trong hệ thống của nạn nhân bằng phần mềm độc hại và đánh cắp thông tin nhạy cảm.

Trong một chiến dịch kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, tổ chức này đã sử dụng các phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu USD. Họ đã gửi cho các kỹ sư những cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.

Nhiều vụ tấn công vào sàn giao dịch tiền điện tử

Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tiền điện tử đã bị tấn công:

• Ngày 24 tháng 8, ví của một sàn giao dịch tiền điện tử ở Canada đã bị đánh cắp.
• Vào ngày 11 tháng 9, một dự án do rò rỉ khóa riêng đã dẫn đến việc nhiều ví do đội ngũ kiểm soát xảy ra chuyển khoản trái phép 400.000 đô la.
• Vào ngày 6 tháng 10, một nền tảng giao dịch đã bị chuyển nhượng 750.000 đô la tài sản tiền điện tử từ ví nóng do lỗ hổng bảo mật.

Những khoản tiền bị đánh cắp này được tập hợp tại cùng một địa chỉ vào đầu năm 2021, sau đó được chuyển nhượng và làm mờ nhiều lần qua nền tảng trộn tiền. Đến năm 2023, những kẻ tấn công đã gửi tiền đến một số địa chỉ rút tiền cụ thể.

Người sáng lập nền tảng bảo hiểm tương trợ bị Hacker tấn công

Vào ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng bảo hiểm tương trợ bị đánh cắp 370.000 mã thông báo của nền tảng, trị giá khoảng 8,3 triệu đô la Mỹ.

Hacker chuyển tiền bị đánh cắp qua nhiều địa chỉ và đổi tiền. Một phần tiền đã được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay lại mạng Ethereum, và sau đó được làm mờ qua nền tảng trộn tiền, cuối cùng được gửi đến nền tảng rút tiền.

Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một nền tảng giao dịch. Từ tháng 2 đến tháng 6 năm 2023, họ lại gửi hơn 11 triệu USDT theo từng đợt đến hai địa chỉ rút tiền khác nhau.

Các sự kiện tấn công dự án DeFi gần đây

Vào tháng 8 năm 2023, hai dự án DeFi đã bị tấn công, tổng cộng khoảng 1500 ETH bị đánh cắp. Hacker đã chuyển những ETH này đến nền tảng trộn coin, sau đó rút về một số địa chỉ trung gian.

Ngày 12 tháng 10 năm 2023, các khoản tiền này đã được tập trung vào một địa chỉ mới. Đến tháng 11, địa chỉ này bắt đầu chuyển tiền, và cuối cùng thông qua trung gian và đổi tiền, đã gửi tiền đến một địa chỉ rút tiền cụ thể.

Tóm tắt

Tổ chức hacker này sau khi đánh cắp tài sản tiền điện tử, chủ yếu thực hiện việc làm mờ nguồn gốc tiền thông qua các thao tác chuỗi chéo và sử dụng công cụ trộn tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp vào địa chỉ mục tiêu và gửi đến nhóm địa chỉ cố định để thực hiện giao dịch rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ rút tiền cụ thể, sau đó được đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.

Đối mặt với những cuộc tấn công liên tục và quy mô lớn như vậy, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi động thái của băng nhóm Hacker này và phương thức Rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và cơ quan thực thi pháp luật trong việc đấu tranh chống lại các tội phạm như vậy, và thu hồi tài sản bị đánh cắp.