Phân tích hoạt động đánh cắp và rửa tiền tài sản tiền điện tử của tổ chức hacker Lazarus Group

Gần đây một báo cáo bí mật của Liên Hợp Quốc đã tiết lộ rằng nhóm hacker Triều Tiên Lazarus Group đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái và đã rửa tiền 147,5 triệu USD qua một nền tảng tiền ảo vào tháng 3 năm nay.

Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ do hacker Triều Tiên nhằm vào các công ty tài sản tiền điện tử diễn ra từ năm 2017 đến 2024, với tổng số tiền khoảng 3.6 tỷ USD. Trong số đó có vụ tấn công vào một sàn giao dịch tài sản tiền điện tử vào cuối năm ngoái, gây thiệt hại 147.5 triệu USD và hoàn thành việc rửa tiền vào tháng 3 năm nay.

Chính phủ một quốc gia đã thực hiện các biện pháp trừng phạt đối với nền tảng tiền điện tử này vào năm 2022. Vào năm 2023, hai nhà đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 10 triệu đô la, một phần số tiền liên quan đến các tổ chức tội phạm mạng có liên quan đến Triều Tiên.

Theo khảo sát của các chuyên gia phân tích tài sản tiền điện tử, Nhóm Lazarus đã rửa tiền trị giá 200 triệu USD từ tài sản tiền điện tử sang tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính, với mục tiêu trải rộng trên nhiều lĩnh vực khác nhau trên toàn cầu. Dưới đây sẽ phân tích một số trường hợp điển hình, tiết lộ cách mà tổ chức này thực hiện các cuộc tấn công thông qua các chiến lược và phương pháp kỹ thuật phức tạp.

Tấn công kỹ thuật xã hội và lừa đảo qua mạng của Nhóm Lazarus

Theo báo chí châu Âu, Lazarus trước đây đã nhằm vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội, lừa đảo người tìm việc tải xuống các tệp PDF chứa phần mềm độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.

Cuộc tấn công kỹ thuật xã hội và lừa đảo trực tuyến này lợi dụng sự thao túng tâm lý để dụ dỗ nạn nhân lơ là cảnh giác, thực hiện các thao tác nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của chúng có thể lợi dụng các lỗ hổng trong hệ thống bị nhiễm để đánh cắp thông tin nhạy cảm.

Lazarus đã sử dụng phương pháp tương tự trong chiến dịch kéo dài sáu tháng nhằm vào một nhà cung cấp thanh toán tiền điện tử, dẫn đến việc công ty này bị đánh cắp 37 triệu USD. Trong suốt quá trình, họ đã gửi cơ hội việc làm giả cho các kỹ sư, tiến hành các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.

Nhiều vụ tấn công vào các sàn giao dịch Tài sản tiền điện tử

Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch tài sản tiền điện tử đã bị tấn công:

• Ngày 24 tháng 8, ví của một sàn giao dịch ở Canada bị đánh cắp.
• Ngày 11 tháng 9, một dự án do rò rỉ khóa riêng, ví của đội ngũ đã bị chuyển khoản không được ủy quyền 400.000 đô la.
• Ngày 6 tháng 10, ví nóng của một sàn giao dịch đã bị chuyển 750.000 Tài sản tiền điện tử do lỗ hổng bảo mật.

Những khoản tiền bị đánh cắp này đã được tập hợp vào cùng một địa chỉ vào đầu năm 2021, sau đó được rửa tiền thông qua một dịch vụ trộn coin nào đó. Kẻ tấn công đã thực hiện nhiều lần chuyển đổi, cuối cùng gửi tiền đến một địa chỉ gửi tiền cụ thể.

Người sáng lập dự án nổi tiếng遭 Hacker tấn công

Ngày 14 tháng 12 năm 2020, ví cá nhân của người sáng lập một dự án bảo hiểm tương trợ đã bị đánh cắp 370.000 mã thông báo (trị giá 8,3 triệu đô la Mỹ). Số tiền bị đánh cắp đã được chuyển đổi qua nhiều địa chỉ và quy đổi thành các tài sản khác. Kẻ tấn công đã làm mờ nguồn gốc của số tiền thông qua các hoạt động chéo chuỗi, nền tảng trộn tiền và nhiều lần chuyển nhượng.

Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một nền tảng giao dịch nào đó. Từ tháng 2 đến tháng 6 năm 2023, họ lại đã chuyển tổng cộng 11 triệu 170 nghìn USDT theo từng đợt đến hai địa chỉ gửi tiền khác nhau.

Phân tích sự cố tấn công gần đây

Vào tháng 8 năm 2023, trong hai sự kiện tấn công khác nhau, tổng cộng 1524 ETH đã được chuyển đến một dịch vụ trộn tiền. Sau đó, số tiền này đã được rút về một số địa chỉ trung gian, và cuối cùng vào tháng 11, sau khi đổi tiền, đã được gửi đến một địa chỉ gửi tiền cụ thể.

Tóm tắt

Phương pháp rửa tiền chính của Nhóm Lazarus bao gồm:

1. Chuyển giao xuyên chuỗi
2. Sử dụng dịch vụ trộn coin
3. Nhiều lần trung chuyển và trao đổi
4. Cuối cùng, tập hợp tiền vào nhóm địa chỉ cố định để rút tiền.

Những cuộc tấn công liên tiếp và quy mô lớn này đang tạo ra mối đe dọa an ninh nghiêm trọng đối với ngành Web3. Các cơ quan liên quan đang tiếp tục theo dõi động thái của băng nhóm Hacker và cách thức Rửa tiền của họ để hỗ trợ chống lại các tội phạm này và thu hồi tài sản bị đánh cắp.