Phân tích các phương pháp tấn công và rửa tiền của tổ chức hacker Bắc Triều Tiên Lazarus Group trong lĩnh vực tài sản tiền điện tử
Một báo cáo mật của Liên Hợp Quốc tiết lộ rằng băng nhóm hacker Bắc Triều Tiên Lazarus Group đã đánh cắp tiền từ một sàn giao dịch Tài sản tiền điện tử vào năm ngoái và đã Rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ nhằm vào các công ty Tài sản tiền điện tử bởi Hacker Triều Tiên diễn ra từ năm 2017 đến 2024, với số tiền khoảng 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD xảy ra tại một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình Rửa tiền vào tháng 3 năm nay.
Năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với nền tảng tiền điện tử này. Năm sau, hai người đồng sáng lập của nền tảng này bị buộc tội hỗ trợ rửa tiền hơn 1 tỷ đô la, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Một nghiên cứu của một chuyên gia điều tra tài sản tiền điện tử cho thấy, Nhóm Lazarus đã chuyển đổi tài sản tiền điện tử trị giá 200 triệu USD thành tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ rất đa dạng, bao gồm hệ thống ngân hàng, các sàn giao dịch Tài sản tiền điện tử, các cơ quan chính phủ và các doanh nghiệp tư nhân. Dưới đây sẽ phân tích một số trường hợp tấn công điển hình, tiết lộ cách Nhóm Lazarus thực hiện các cuộc tấn công này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo trực tuyến của Nhóm Lazarus
Theo báo chí châu Âu, Lazarus đã nhắm đến các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng giả trên các nền tảng mạng xã hội, lừa đảo nhân viên tải xuống các tệp PDF chứa tệp thực thi độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Các cuộc tấn công kiểu này cố gắng lợi dụng thao túng tâm lý, khiến nạn nhân lơ là, thực hiện những hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Trong một cuộc tấn công kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, Lazarus đã sử dụng phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu USD. Trong suốt quá trình này, họ đã gửi cho các kỹ sư các cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng nhiều loại mật khẩu khác nhau để tấn công bạo lực.
Nhiều vụ tấn công sàn giao dịch Tài sản tiền điện tử
Trong khoảng thời gian từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tài sản tiền điện tử đã bị tấn công:
Ngày 24 tháng 8 năm 2020, ví của một sàn giao dịch Tài sản tiền điện tử Canada bị đánh cắp.
Ngày 11 tháng 9 năm 2020, một dự án do rò rỉ khóa riêng, đã dẫn đến nhiều ví do đội ngũ kiểm soát xảy ra chuyển khoản trái phép 400.000 đô la.
Vào ngày 6 tháng 10 năm 2020, ví nóng của một nền tảng giao dịch đã chuyển nhượng trái phép tài sản mã hóa trị giá 750.000 USD do lỗ hổng bảo mật.
Các quỹ từ các sự kiện tấn công này đã được tập hợp tại cùng một địa chỉ vào đầu năm 2021. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn coin và rút tiền liên tục trong vài ngày. Đến năm 2023, các quỹ này đã trải qua nhiều lần chuyển nhượng và đổi tiền, cuối cùng tập trung về địa chỉ rút tiền của các quỹ từ các sự kiện bảo mật khác.
Người sáng lập dự án bảo hiểm bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, người sáng lập một dự án bảo hiểm đã gặp phải cuộc tấn công của hacker, thiệt hại 370.000 NXM (khoảng 8,3 triệu USD). Kẻ tấn công đã chuyển nhượng và đổi tiền bị đánh cắp thông qua nhiều địa chỉ, thực hiện các thao tác rửa tiền, phân tán và tập hợp. Một phần tiền đã được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay trở lại mạng Ethereum, và sau đó được thực hiện rửa tiền thông qua nền tảng trộn coin, cuối cùng được gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ Hacker đã gửi hơn 2500ETH đến một dịch vụ trộn coin. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các giao dịch rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch. Từ tháng 2 đến tháng 6 năm 2023, những kẻ tấn công đã gửi hơn 11 triệu USDT đến hai địa chỉ gửi tiền trên nền tảng giao dịch khác nhau thông qua các địa chỉ khác nhau.
Các sự kiện tấn công gần đây
Vào tháng 8 năm 2023, đã xảy ra hai sự cố tấn công mới, liên quan đến việc 624 coin ETH và 900 coin ETH bị đánh cắp. Các khoản tiền bị đánh cắp này đã được chuyển đến một dịch vụ trộn coin. Sau đó, các khoản tiền đã được rút về một số địa chỉ mới và vào ngày 12 tháng 10 năm 2023, chúng đã được tập trung về một địa chỉ duy nhất.
Vào tháng 11 năm 2023, địa chỉ thống nhất này bắt đầu chuyển tiền, cuối cùng thông qua trung chuyển và đổi tiền, gửi tiền đến hai địa chỉ gửi tiền chính của các nền tảng giao dịch.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thể hiện một số quy luật: Sau khi đánh cắp tài sản tiền điện tử, họ chủ yếu làm mờ nguồn gốc của tiền bằng cách lặp đi lặp lại việc chuyển đổi giữa các chuỗi và sử dụng dịch vụ trộn coin. Sau khi làm mờ, họ sẽ rút tài sản về địa chỉ mục tiêu và gửi đến một số nhóm địa chỉ cố định để thực hiện giao dịch rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ nạp của một nền tảng giao dịch cụ thể, sau đó thông qua dịch vụ giao dịch ngoài sàn để đổi tài sản tiền điện tử thành tiền pháp định.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi động thái của băng nhóm hacker này và theo dõi các phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc đấu tranh chống lại loại tội phạm này và thu hồi tài sản bị đánh cắp.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 thích
Phần thưởng
12
6
Chia sẻ
Bình luận
0/400
SelfStaking
· 07-02 10:51
Giờ ai dám cược bừa bãi nữa chứ.
Xem bản gốcTrả lời0
GasGuzzler
· 07-02 10:49
À cái này... Người Triều Tiên làm thật chuyên nghiệp
Tổ chức hacker Bắc Triều Tiên Lazarus Group đã đánh cắp 3,6 tỷ USD, tiết lộ phương pháp rửa tiền.
Phân tích các phương pháp tấn công và rửa tiền của tổ chức hacker Bắc Triều Tiên Lazarus Group trong lĩnh vực tài sản tiền điện tử
Một báo cáo mật của Liên Hợp Quốc tiết lộ rằng băng nhóm hacker Bắc Triều Tiên Lazarus Group đã đánh cắp tiền từ một sàn giao dịch Tài sản tiền điện tử vào năm ngoái và đã Rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ nhằm vào các công ty Tài sản tiền điện tử bởi Hacker Triều Tiên diễn ra từ năm 2017 đến 2024, với số tiền khoảng 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD xảy ra tại một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình Rửa tiền vào tháng 3 năm nay.
Năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với nền tảng tiền điện tử này. Năm sau, hai người đồng sáng lập của nền tảng này bị buộc tội hỗ trợ rửa tiền hơn 1 tỷ đô la, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Một nghiên cứu của một chuyên gia điều tra tài sản tiền điện tử cho thấy, Nhóm Lazarus đã chuyển đổi tài sản tiền điện tử trị giá 200 triệu USD thành tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ rất đa dạng, bao gồm hệ thống ngân hàng, các sàn giao dịch Tài sản tiền điện tử, các cơ quan chính phủ và các doanh nghiệp tư nhân. Dưới đây sẽ phân tích một số trường hợp tấn công điển hình, tiết lộ cách Nhóm Lazarus thực hiện các cuộc tấn công này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo trực tuyến của Nhóm Lazarus
Theo báo chí châu Âu, Lazarus đã nhắm đến các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng giả trên các nền tảng mạng xã hội, lừa đảo nhân viên tải xuống các tệp PDF chứa tệp thực thi độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Các cuộc tấn công kiểu này cố gắng lợi dụng thao túng tâm lý, khiến nạn nhân lơ là, thực hiện những hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Trong một cuộc tấn công kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, Lazarus đã sử dụng phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu USD. Trong suốt quá trình này, họ đã gửi cho các kỹ sư các cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng nhiều loại mật khẩu khác nhau để tấn công bạo lực.
Nhiều vụ tấn công sàn giao dịch Tài sản tiền điện tử
Trong khoảng thời gian từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tài sản tiền điện tử đã bị tấn công:
Các quỹ từ các sự kiện tấn công này đã được tập hợp tại cùng một địa chỉ vào đầu năm 2021. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn coin và rút tiền liên tục trong vài ngày. Đến năm 2023, các quỹ này đã trải qua nhiều lần chuyển nhượng và đổi tiền, cuối cùng tập trung về địa chỉ rút tiền của các quỹ từ các sự kiện bảo mật khác.
Người sáng lập dự án bảo hiểm bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, người sáng lập một dự án bảo hiểm đã gặp phải cuộc tấn công của hacker, thiệt hại 370.000 NXM (khoảng 8,3 triệu USD). Kẻ tấn công đã chuyển nhượng và đổi tiền bị đánh cắp thông qua nhiều địa chỉ, thực hiện các thao tác rửa tiền, phân tán và tập hợp. Một phần tiền đã được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay trở lại mạng Ethereum, và sau đó được thực hiện rửa tiền thông qua nền tảng trộn coin, cuối cùng được gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ Hacker đã gửi hơn 2500ETH đến một dịch vụ trộn coin. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các giao dịch rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch. Từ tháng 2 đến tháng 6 năm 2023, những kẻ tấn công đã gửi hơn 11 triệu USDT đến hai địa chỉ gửi tiền trên nền tảng giao dịch khác nhau thông qua các địa chỉ khác nhau.
Các sự kiện tấn công gần đây
Vào tháng 8 năm 2023, đã xảy ra hai sự cố tấn công mới, liên quan đến việc 624 coin ETH và 900 coin ETH bị đánh cắp. Các khoản tiền bị đánh cắp này đã được chuyển đến một dịch vụ trộn coin. Sau đó, các khoản tiền đã được rút về một số địa chỉ mới và vào ngày 12 tháng 10 năm 2023, chúng đã được tập trung về một địa chỉ duy nhất.
Vào tháng 11 năm 2023, địa chỉ thống nhất này bắt đầu chuyển tiền, cuối cùng thông qua trung chuyển và đổi tiền, gửi tiền đến hai địa chỉ gửi tiền chính của các nền tảng giao dịch.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thể hiện một số quy luật: Sau khi đánh cắp tài sản tiền điện tử, họ chủ yếu làm mờ nguồn gốc của tiền bằng cách lặp đi lặp lại việc chuyển đổi giữa các chuỗi và sử dụng dịch vụ trộn coin. Sau khi làm mờ, họ sẽ rút tài sản về địa chỉ mục tiêu và gửi đến một số nhóm địa chỉ cố định để thực hiện giao dịch rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ nạp của một nền tảng giao dịch cụ thể, sau đó thông qua dịch vụ giao dịch ngoài sàn để đổi tài sản tiền điện tử thành tiền pháp định.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi động thái của băng nhóm hacker này và theo dõi các phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc đấu tranh chống lại loại tội phạm này và thu hồi tài sản bị đánh cắp.