Phân tích các hoạt động tấn công mạng và rửa tiền của tổ chức hacker Triều Tiên Lazarus Group
Gần đây, một báo cáo bí mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của nhóm hacker Lazarus Group từ Triều Tiên. Tổ chức này đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái và đã rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban Trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ do hacker Triều Tiên nhắm đến các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với tổng số tiền khoảng 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD xảy ra tại một sàn giao dịch tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình rửa tiền vào tháng 3 năm nay.
Năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với nền tảng tiền ảo này. Năm sau, hai nhà đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ Rửa tiền hơn 1 tỷ đô la, bao gồm cả những tổ chức tội phạm mạng có liên quan đến Triều Tiên như Lazarus Group.
Một nghiên cứu của một chuyên gia điều tra tiền điện tử cho thấy, Nhóm Lazarus đã rửa tiền trị giá 200 triệu đô la Mỹ từ tiền điện tử sang tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ trải rộng toàn cầu, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ các cơ quan chính phủ đến doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thành công thực hiện những cuộc tấn công này thông qua các chiến lược và kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo mạng của nhóm Lazarus
Lazarus đã từng nhắm vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội để lừa đảo nhân viên. Họ yêu cầu ứng viên tải xuống PDF chứa tệp thực thi độc hại, từ đó thực hiện tấn công lừa đảo.
Cuộc tấn công xã hội và lừa đảo trực tuyến này sử dụng sự thao túng tâm lý để khiến nạn nhân lơ là, thực hiện các hành động đe dọa đến an ninh, chẳng hạn như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của chúng có khả năng khai thác lỗ hổng trong hệ thống của nạn nhân để đánh cắp thông tin nhạy cảm.
Lazarus đã sử dụng phương pháp tương tự trong sáu tháng hành động nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến việc công ty này bị đánh cắp 37 triệu USD. Trong suốt quá trình, họ đã gửi các cơ hội việc làm giả cho kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều sự kiện tấn công sàn giao dịch tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch tiền điện tử và dự án đã bị tấn công:
Ngày 24 tháng 8 năm 2020, ví của một sàn giao dịch tiền điện tử ở Canada bị đánh cắp.
Vào ngày 11 tháng 9 năm 2020, một dự án đã bị rò rỉ khóa riêng, dẫn đến nhiều ví do đội ngũ kiểm soát xảy ra chuyển khoản không được phép trị giá 400.000 đô la.
Ngày 6 tháng 10 năm 2020, ví nóng của một nền tảng giao dịch đã bị chuyển nhượng không có sự cho phép do lỗ hổng bảo mật, gây thiệt hại 75.000 USD tài sản tiền điện tử.
Các quỹ từ các sự kiện tấn công này đã được tập hợp về cùng một địa chỉ vào đầu năm 2021. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn coin và rút ra liên tục trong vài ngày. Đến năm 2023, các quỹ này đã trải qua nhiều lần chuyển đổi và quy đổi, cuối cùng tập hợp về các địa chỉ rút tiền của các quỹ sự kiện an toàn khác và được gửi đến một số địa chỉ gửi tiền.
Người sáng lập một nền tảng hỗ trợ đã bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 token của nền tảng, trị giá khoảng 8,3 triệu USD.
Các khoản tiền bị đánh cắp đã được chuyển nhượng giữa nhiều địa chỉ và đổi thành các tài sản khác. Nhóm Lazarus đã thực hiện các thao tác làm mờ, phân tán và tập hợp tài chính thông qua những địa chỉ này. Một phần tiền đã được chuyển qua chuỗi sang mạng Bitcoin, sau đó lại chuyển về mạng Ethereum, và cuối cùng được làm mờ qua nền tảng trộn tiền trước khi gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ liên quan đã gửi hơn 2500 ETH đến một dịch vụ trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện giao dịch rút tiền.
Hacker thông qua việc chuyển nhượng và đổi tiền, đã chuyển một phần quỹ đến địa chỉ rút tiền đã được đề cập trong sự kiện trước đó. Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một địa chỉ gửi tiền nào đó. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công đã gửi tổng cộng 11 triệu USDT đến hai địa chỉ gửi tiền khác nhau thông qua các địa chỉ khác nhau.
Sự kiện tấn công mới năm 2023
Tháng 8 năm 2023, hai sự kiện tấn công mới đã xảy ra:
Một dự án bị tấn công, 624 ETH bị đánh cắp.
Một dự án khác bị tấn công, 900 ETH bị đánh cắp.
Hai vụ việc này đều đã chuyển số tiền bị đánh cắp đến một dịch vụ trộn tiền. Sau đó, số tiền được rút về ba địa chỉ khác nhau, và vào ngày 12 tháng 10, chúng đã được tập trung vào một địa chỉ mới. Vào tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua việc trung chuyển và trao đổi, đã gửi tiền đến hai địa chỉ gửi tiền cụ thể.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu thực hiện việc làm mờ nguồn vốn thông qua các hoạt động trao đổi liên chuỗi và dịch vụ trộn coin. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một số nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ gửi tiền cụ thể, sau đó được chuyển đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với những cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức về an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi nhóm hacker này, theo dõi các động thái và phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
23 thích
Phần thưởng
23
8
Chia sẻ
Bình luận
0/400
MetaMaskVictim
· 07-29 07:26
Một ngày bắt được ba cái coin của tôi, bọn cướp này.
Xem bản gốcTrả lời0
ChainBrain
· 07-28 23:32
Suy nghĩ kỹ thì hơi hoảng
Xem bản gốcTrả lời0
BlockchainTalker
· 07-27 18:43
thật lòng mà nói, lazarus ở cấp độ tiếp theo trong kỹ thuật xã hội thật sự.
Xem bản gốcTrả lời0
OldLeekMaster
· 07-27 18:41
Số tiền này có lẽ lại sẽ được đưa vào ngân sách quân sự của Triều Tiên.
Tiết lộ về phương pháp tấn công của nhóm hacker Lazarus: từ lừa đảo xã hội đến rửa tiền tài sản tiền điện tử
Phân tích các hoạt động tấn công mạng và rửa tiền của tổ chức hacker Triều Tiên Lazarus Group
Gần đây, một báo cáo bí mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của nhóm hacker Lazarus Group từ Triều Tiên. Tổ chức này đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái và đã rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban Trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ do hacker Triều Tiên nhắm đến các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với tổng số tiền khoảng 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD xảy ra tại một sàn giao dịch tiền điện tử vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình rửa tiền vào tháng 3 năm nay.
Năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với nền tảng tiền ảo này. Năm sau, hai nhà đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ Rửa tiền hơn 1 tỷ đô la, bao gồm cả những tổ chức tội phạm mạng có liên quan đến Triều Tiên như Lazarus Group.
Một nghiên cứu của một chuyên gia điều tra tiền điện tử cho thấy, Nhóm Lazarus đã rửa tiền trị giá 200 triệu đô la Mỹ từ tiền điện tử sang tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ trải rộng toàn cầu, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ các cơ quan chính phủ đến doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thành công thực hiện những cuộc tấn công này thông qua các chiến lược và kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo mạng của nhóm Lazarus
Lazarus đã từng nhắm vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội để lừa đảo nhân viên. Họ yêu cầu ứng viên tải xuống PDF chứa tệp thực thi độc hại, từ đó thực hiện tấn công lừa đảo.
Cuộc tấn công xã hội và lừa đảo trực tuyến này sử dụng sự thao túng tâm lý để khiến nạn nhân lơ là, thực hiện các hành động đe dọa đến an ninh, chẳng hạn như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của chúng có khả năng khai thác lỗ hổng trong hệ thống của nạn nhân để đánh cắp thông tin nhạy cảm.
Lazarus đã sử dụng phương pháp tương tự trong sáu tháng hành động nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến việc công ty này bị đánh cắp 37 triệu USD. Trong suốt quá trình, họ đã gửi các cơ hội việc làm giả cho kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều sự kiện tấn công sàn giao dịch tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch tiền điện tử và dự án đã bị tấn công:
Các quỹ từ các sự kiện tấn công này đã được tập hợp về cùng một địa chỉ vào đầu năm 2021. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn coin và rút ra liên tục trong vài ngày. Đến năm 2023, các quỹ này đã trải qua nhiều lần chuyển đổi và quy đổi, cuối cùng tập hợp về các địa chỉ rút tiền của các quỹ sự kiện an toàn khác và được gửi đến một số địa chỉ gửi tiền.
Người sáng lập một nền tảng hỗ trợ đã bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 token của nền tảng, trị giá khoảng 8,3 triệu USD.
Các khoản tiền bị đánh cắp đã được chuyển nhượng giữa nhiều địa chỉ và đổi thành các tài sản khác. Nhóm Lazarus đã thực hiện các thao tác làm mờ, phân tán và tập hợp tài chính thông qua những địa chỉ này. Một phần tiền đã được chuyển qua chuỗi sang mạng Bitcoin, sau đó lại chuyển về mạng Ethereum, và cuối cùng được làm mờ qua nền tảng trộn tiền trước khi gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ liên quan đã gửi hơn 2500 ETH đến một dịch vụ trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện giao dịch rút tiền.
Hacker thông qua việc chuyển nhượng và đổi tiền, đã chuyển một phần quỹ đến địa chỉ rút tiền đã được đề cập trong sự kiện trước đó. Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một địa chỉ gửi tiền nào đó. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công đã gửi tổng cộng 11 triệu USDT đến hai địa chỉ gửi tiền khác nhau thông qua các địa chỉ khác nhau.
Sự kiện tấn công mới năm 2023
Tháng 8 năm 2023, hai sự kiện tấn công mới đã xảy ra:
Hai vụ việc này đều đã chuyển số tiền bị đánh cắp đến một dịch vụ trộn tiền. Sau đó, số tiền được rút về ba địa chỉ khác nhau, và vào ngày 12 tháng 10, chúng đã được tập trung vào một địa chỉ mới. Vào tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua việc trung chuyển và trao đổi, đã gửi tiền đến hai địa chỉ gửi tiền cụ thể.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu thực hiện việc làm mờ nguồn vốn thông qua các hoạt động trao đổi liên chuỗi và dịch vụ trộn coin. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một số nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ gửi tiền cụ thể, sau đó được chuyển đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với những cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức về an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi nhóm hacker này, theo dõi các động thái và phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.