Băng nhóm trộm tiền điện tử liều lĩnh nhất trong lịch sử? Phân tích chi tiết về cách tổ chức Hacker Lazarus Group rửa tiền

Gần đây, một báo cáo nội bộ liên hợp đã tiết lộ một vụ đánh cắp tài sản tiền điện tử lớn. Theo thông tin, một băng nhóm hacker đã đánh cắp tiền từ một sàn giao dịch vào năm ngoái và đã rửa tiền 147.5 triệu đô la Mỹ thông qua một nền tảng tiền điện tử vào tháng 3 năm nay.

Các nhà điều tra đã báo cáo với Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc rằng họ đang điều tra 97 vụ tấn công mạng nhằm vào các công ty Tài sản tiền điện tử diễn ra từ năm 2017 đến 2024, với số tiền liên quan lên tới 3,6 tỷ USD. Trong số đó có vụ đánh cắp 147,5 triệu USD tại một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn tất quá trình Rửa tiền vào tháng 3 năm nay.

Cần lưu ý rằng, chính phủ Hoa Kỳ đã áp dụng các biện pháp trừng phạt đối với nền tảng tiền điện tử này vào năm 2022. Năm ngoái, hai người đồng sáng lập của nền tảng này đã bị buộc tội hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó một phần tiền có liên quan đến một tổ chức tội phạm mạng.

Theo một cuộc khảo sát của một chuyên gia phân tích tài sản tiền điện tử, băng nhóm hacker này đã rửa tiền trị giá 200 triệu đô la tài sản tiền điện tử thành tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Trong lĩnh vực an ninh mạng, băng nhóm hacker này đã bị cáo buộc từ lâu về việc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ không chỉ giới hạn trong các ngành công nghiệp hoặc khu vực cụ thể, mà là trải rộng toàn cầu, từ hệ thống ngân hàng đến các sàn giao dịch tiền điện tử, từ cơ quan chính phủ đến doanh nghiệp tư nhân. Dưới đây, chúng tôi sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà băng nhóm hacker này đã thành công trong việc thực hiện những cuộc tấn công đáng kinh ngạc thông qua các chiến lược và phương pháp kỹ thuật phức tạp.

Kỹ thuật xã hội và tấn công lừa đảo qua mạng

Theo báo chí châu Âu, băng nhóm hacker này trước đây đã nhắm mục tiêu vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, đăng quảng cáo tuyển dụng trên các nền tảng xã hội để lừa đảo nhân viên, yêu cầu ứng viên tải xuống một tệp PDF đã triển khai tệp thực thi, sau đó thực hiện cuộc tấn công lừa đảo.

Kỹ thuật xã hội và tấn công lừa đảo đều cố gắng lợi dụng sự thao túng tâm lý để dụ dỗ nạn nhân lơ là cảnh giác và thực hiện các hành động như nhấp vào liên kết hoặc tải xuống tệp, từ đó gây nguy hiểm cho sự an toàn của họ.

Phần mềm độc hại của họ cho phép kẻ tấn công nhắm vào lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.

Trong một chiến dịch kéo dài sáu tháng nhằm vào một nhà cung cấp thanh toán tiền điện tử, băng nhóm hacker này đã sử dụng các phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu đô la. Trong suốt quá trình hoạt động, họ đã gửi cho các kỹ sư các cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và gửi nhiều mật khẩu khả thi để thực hiện tấn công bạo lực.

Nhiều sàn giao dịch Tài sản tiền điện tử bị tấn công

Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án Tài sản tiền điện tử đã bị tấn công. Trong số đó có một sàn giao dịch Canada bị đánh cắp ví, một dự án blockchain do rò rỉ khóa riêng đã dẫn đến việc chuyển khoản không được ủy quyền 400.000 đô la, và một sàn giao dịch khác đã mất 750.000 đô la tài sản mã hóa do lỗ hổng bảo mật.

Các khoản tiền từ những vụ tấn công này đã được tập hợp vào cùng một địa chỉ vào đầu năm 2021. Sau đó, kẻ tấn công đã thông qua nhiều lần chuyển nhượng và các hoạt động trộn coin, phân tán số tiền và cuối cùng gửi đến một số địa chỉ cụ thể.

Người sáng lập một nền tảng bảo hiểm tương hỗ bị hacker tấn công

Vào ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng bảo hiểm tương hỗ bị đánh cắp 370.000 mã thông báo của nền tảng, trị giá khoảng 8,3 triệu USD. Kẻ tấn công đã thực hiện một loạt các địa chỉ chuyển và đổi tiền, thực hiện các hoạt động làm rối, phân tán và tập hợp. Một phần tiền đã được chuyển qua chuỗi sang mạng Bitcoin, sau đó quay trở lại mạng Ethereum, và cuối cùng được làm rối qua nền tảng làm rối, trước khi được gửi đến nền tảng rút tiền.

Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một nền tảng giao dịch nào đó. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công lại gửi tổng cộng 11,17 triệu USDT đến các nền tảng rút tiền khác nhau thông qua nhiều địa chỉ.

Phân tích sự kiện tấn công mới nhất

Vào tháng 8 năm 2023, đã xảy ra hai vụ tấn công mới, lần lượt liên quan đến 624 ETH và 900 ETH. Những quỹ bị đánh cắp này nhanh chóng được chuyển đến một nền tảng trộn coin nào đó. Sau đó, quỹ đã được rút về một số địa chỉ cụ thể và vào tháng 10 năm 2023, chúng được tập trung vào một địa chỉ. Đến tháng 11, những quỹ này bắt đầu được chuyển đi, cuối cùng thông qua trung gian và đổi chác, gửi đến một số địa chỉ rút tiền cụ thể.

Tóm tắt

Thông qua việc phân tích hoạt động của băng nhóm hacker này trong vài năm qua, có thể tóm tắt các phương thức rửa tiền chính của họ: Sau khi đánh cắp tài sản tiền điện tử, họ thường sẽ sử dụng việc chuyển đổi liên chuỗi nhiều lần và sử dụng máy trộn coin để làm mờ nguồn gốc của quỹ. Sau khi làm mờ, họ sẽ rút tài sản đến địa chỉ mục tiêu và gửi đến một số nhóm địa chỉ cố định để thực hiện giao dịch rút tiền. Tài sản tiền điện tử bị đánh cắp cuối cùng sẽ được lưu trữ vào một số địa chỉ rút tiền cụ thể, sau đó sẽ được đổi thành tiền pháp định thông qua dịch vụ giao dịch OTC.

Nhóm hacker này đã gây ra những thách thức an ninh lớn cho ngành Web3 với các cuộc tấn công quy mô lớn và liên tục. Các cơ quan liên quan đang theo dõi chặt chẽ động thái của nhóm này và sẽ tiếp tục truy tìm hoạt động cũng như cách thức rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại tội phạm như vậy và thu hồi tài sản bị đánh cắp.