Cuộc tấn công mạng và phương pháp rửa tiền của tổ chức hacker Triều Tiên Lazarus Group
Gần đây, một báo cáo bí mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của nhóm hacker Lazarus Group ở Triều Tiên. Theo thông tin, tổ chức này đã rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay, sau khi đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái.
Các giám sát viên của Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đã tiết lộ rằng họ đang điều tra 97 vụ tấn công mạng nghi ngờ từ các hacker Bắc Triều Tiên nhắm vào các công ty tiền điện tử diễn ra từ năm 2017 đến 2024, với số tiền lên tới 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD mà một sàn giao dịch tiền điện tử đã phải chịu vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình rửa tiền vào tháng 3 năm nay.
Cần lưu ý rằng, chính phủ Mỹ đã áp đặt lệnh trừng phạt đối với nền tảng tiền ảo này vào năm 2022. Năm 2023, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó bao gồm các khoản thu nhập bất hợp pháp liên quan đến tổ chức tội phạm mạng Lazarus Group của Triều Tiên.
Theo khảo sát của các chuyên gia phân tích tiền điện tử, Nhóm Lazarus đã thành công chuyển đổi 200 triệu đô la tiền điện tử sang tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ bao gồm khắp nơi trên thế giới, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ các cơ quan chính phủ đến các doanh nghiệp tư nhân, không có gì là không bao quát. Dưới đây, chúng tôi sẽ tập trung phân tích một số trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thành công thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo qua mạng của Lazarus Group
Theo báo chí châu Âu, Lazarus đã nhắm tới các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng các quảng cáo tuyển dụng giả trên các nền tảng xã hội, lừa đảo những người tìm việc tải xuống tài liệu PDF chứa tệp thực thi độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Loại tấn công kỹ thuật xã hội và lừa đảo này cố gắng lợi dụng sự thao túng tâm lý, khiến nạn nhân trở nên lơ là và thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp, từ đó đe dọa đến an toàn của họ. Hacker thông qua việc cài đặt phần mềm độc hại, có thể tấn công vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Lazarus vẫn đang sử dụng các phương pháp tương tự trong một chiến dịch kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến việc công ty này bị đánh cắp 37 triệu đô la. Trong suốt quá trình tấn công, họ đã gửi cho các kỹ sư những cơ hội việc làm giả, thực hiện các cuộc tấn công từ chối dịch vụ phân tán và cố gắng nhiều loại mật khẩu khác nhau để bẻ khóa bằng phương pháp brute force.
Phân tích sự cố tấn công CoinBerry, Unibright và các sự kiện khác
Vào ngày 24 tháng 8 năm 2020, ví của một sàn giao dịch tiền điện tử ở Canada đã bị xâm nhập. Vào ngày 11 tháng 9 năm 2020, do rò rỉ khóa riêng, đã xảy ra chuyển khoản không được ủy quyền trị giá 400.000 đô la Mỹ từ nhiều ví do đội ngũ Unbright kiểm soát. Vào ngày 6 tháng 10 năm 2020, một nền tảng tiền điện tử đã chuyển giao trái phép tài sản tiền điện tử trị giá 750.000 đô la Mỹ từ ví nóng của mình do lỗ hổng bảo mật.
Đầu năm 2021, các nguồn tài chính từ những sự kiện tấn công này đã được tập hợp về cùng một địa chỉ. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn tiền và rút ra một lần nữa trong thời gian ngắn. Đến năm 2023, sau nhiều lần chuyển đổi và quy đổi, các nguồn tài chính này cuối cùng đã được tập hợp về các địa chỉ khác liên quan đến các sự kiện an ninh khác và đã được gửi đến một số địa chỉ gửi tiền cụ thể.
Người sáng lập nền tảng tương trợ bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, ví cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 NXM (khoảng 8,3 triệu USD). Số tiền bị đánh cắp đã được chuyển đổi giữa nhiều địa chỉ và đổi thành tài sản khác. Nhóm Lazarus đã thực hiện các thao tác làm mờ, phân tán và tập hợp tài chính qua những địa chỉ này. Một phần số tiền đã được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay lại mạng Ethereum, rồi được làm mờ thông qua nền tảng trộn tiền, cuối cùng được gửi đến nền tảng rút tiền.
Giữa tháng 12 năm 2020, một địa chỉ Hacker đã gửi một lượng lớn ETH đến một dịch vụ trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các thao tác rút tiền. Hacker đã chuyển một phần quỹ đến địa chỉ rút tiền đã đề cập trước đó thông qua việc chuyển nhượng và trao đổi.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công lại gửi một lượng lớn USDT đến địa chỉ gửi tiền của các nền tảng giao dịch khác thông qua các địa chỉ khác nhau.
Steadefi và CoinShift Hacker tấn công
Vào tháng 8 năm 2023, 624 ETH bị đánh cắp trong sự kiện Steadefi và 900 ETH bị đánh cắp trong sự kiện CoinShift đã được chuyển đến một dịch vụ trộn coin. Sau đó, các quỹ này đã được rút về một số địa chỉ cụ thể.
Vào ngày 12 tháng 10 năm 2023, các địa chỉ này sẽ tập trung chuyển tiền từ dịch vụ trộn tiền đến một địa chỉ mới. Đến tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, sẽ gửi tiền đến một số địa chỉ gửi tiền nhất định.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu sử dụng các giao dịch liên chuỗi và dịch vụ trộn coin để làm mờ nguồn gốc của các khoản tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp vào địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ gửi tiền cụ thể, sau đó được đổi thành tiền tệ pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Lazarus Group, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi động thái của nhóm Hacker này và tiến hành theo dõi sâu về phương thức Rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc chống lại các loại tội phạm như vậy và thu hồi tài sản bị đánh cắp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
9
Chia sẻ
Bình luận
0/400
SnapshotStriker
· 07-16 05:44
Việc làm ở Triều Tiên rất phát triển.
Xem bản gốcTrả lời0
DataPickledFish
· 07-16 02:09
Tiền này làm sao để rửa? Có chút đồ.
Xem bản gốcTrả lời0
SatoshiLegend
· 07-14 05:36
Lại thấy mã đặc trưng máy ảo tiêu chuẩn Độ khó giải mã hợp đồng 4.3/10
Xem bản gốcTrả lời0
WhaleWatcher
· 07-13 20:05
Ngành độc mồm, đi trước thông tin tốt~
Xem bản gốcTrả lời0
ForkTongue
· 07-13 20:01
36 tỷ cũng quá cứng cáp rồi, ăn trông thật khó coi.
Xem bản gốcTrả lời0
ApeDegen
· 07-13 19:59
Sao chỉ chú ý đến thế giới tiền điện tử Phiếu giảm giá vậy?
Xem bản gốcTrả lời0
DegenRecoveryGroup
· 07-13 19:54
Trở lại ăn cơm rồi hả?
Xem bản gốcTrả lời0
not_your_keys
· 07-13 19:46
Không thật sự nghĩ rằng sàn giao dịch an toàn chứ?
Nhóm Hacker Lazarus của Triều Tiên đánh cắp 3,6 tỷ USD. Khám phá phương pháp tấn công và lộ trình rửa tiền của họ.
Cuộc tấn công mạng và phương pháp rửa tiền của tổ chức hacker Triều Tiên Lazarus Group
Gần đây, một báo cáo bí mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của nhóm hacker Lazarus Group ở Triều Tiên. Theo thông tin, tổ chức này đã rửa tiền 147.5 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay, sau khi đã đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái.
Các giám sát viên của Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đã tiết lộ rằng họ đang điều tra 97 vụ tấn công mạng nghi ngờ từ các hacker Bắc Triều Tiên nhắm vào các công ty tiền điện tử diễn ra từ năm 2017 đến 2024, với số tiền lên tới 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD mà một sàn giao dịch tiền điện tử đã phải chịu vào cuối năm ngoái, số tiền này sau đó đã hoàn thành quá trình rửa tiền vào tháng 3 năm nay.
Cần lưu ý rằng, chính phủ Mỹ đã áp đặt lệnh trừng phạt đối với nền tảng tiền ảo này vào năm 2022. Năm 2023, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó bao gồm các khoản thu nhập bất hợp pháp liên quan đến tổ chức tội phạm mạng Lazarus Group của Triều Tiên.
Theo khảo sát của các chuyên gia phân tích tiền điện tử, Nhóm Lazarus đã thành công chuyển đổi 200 triệu đô la tiền điện tử sang tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ bao gồm khắp nơi trên thế giới, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ các cơ quan chính phủ đến các doanh nghiệp tư nhân, không có gì là không bao quát. Dưới đây, chúng tôi sẽ tập trung phân tích một số trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thành công thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo qua mạng của Lazarus Group
Theo báo chí châu Âu, Lazarus đã nhắm tới các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông. Họ đã đăng các quảng cáo tuyển dụng giả trên các nền tảng xã hội, lừa đảo những người tìm việc tải xuống tài liệu PDF chứa tệp thực thi độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Loại tấn công kỹ thuật xã hội và lừa đảo này cố gắng lợi dụng sự thao túng tâm lý, khiến nạn nhân trở nên lơ là và thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp, từ đó đe dọa đến an toàn của họ. Hacker thông qua việc cài đặt phần mềm độc hại, có thể tấn công vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Lazarus vẫn đang sử dụng các phương pháp tương tự trong một chiến dịch kéo dài sáu tháng nhằm vào một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến việc công ty này bị đánh cắp 37 triệu đô la. Trong suốt quá trình tấn công, họ đã gửi cho các kỹ sư những cơ hội việc làm giả, thực hiện các cuộc tấn công từ chối dịch vụ phân tán và cố gắng nhiều loại mật khẩu khác nhau để bẻ khóa bằng phương pháp brute force.
Phân tích sự cố tấn công CoinBerry, Unibright và các sự kiện khác
Vào ngày 24 tháng 8 năm 2020, ví của một sàn giao dịch tiền điện tử ở Canada đã bị xâm nhập. Vào ngày 11 tháng 9 năm 2020, do rò rỉ khóa riêng, đã xảy ra chuyển khoản không được ủy quyền trị giá 400.000 đô la Mỹ từ nhiều ví do đội ngũ Unbright kiểm soát. Vào ngày 6 tháng 10 năm 2020, một nền tảng tiền điện tử đã chuyển giao trái phép tài sản tiền điện tử trị giá 750.000 đô la Mỹ từ ví nóng của mình do lỗ hổng bảo mật.
Đầu năm 2021, các nguồn tài chính từ những sự kiện tấn công này đã được tập hợp về cùng một địa chỉ. Sau đó, kẻ tấn công đã gửi một lượng lớn ETH qua một dịch vụ trộn tiền và rút ra một lần nữa trong thời gian ngắn. Đến năm 2023, sau nhiều lần chuyển đổi và quy đổi, các nguồn tài chính này cuối cùng đã được tập hợp về các địa chỉ khác liên quan đến các sự kiện an ninh khác và đã được gửi đến một số địa chỉ gửi tiền cụ thể.
Người sáng lập nền tảng tương trợ bị Hacker tấn công
Vào ngày 14 tháng 12 năm 2020, ví cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 NXM (khoảng 8,3 triệu USD). Số tiền bị đánh cắp đã được chuyển đổi giữa nhiều địa chỉ và đổi thành tài sản khác. Nhóm Lazarus đã thực hiện các thao tác làm mờ, phân tán và tập hợp tài chính qua những địa chỉ này. Một phần số tiền đã được chuyển qua chuỗi đến mạng Bitcoin, sau đó quay lại mạng Ethereum, rồi được làm mờ thông qua nền tảng trộn tiền, cuối cùng được gửi đến nền tảng rút tiền.
Giữa tháng 12 năm 2020, một địa chỉ Hacker đã gửi một lượng lớn ETH đến một dịch vụ trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các thao tác rút tiền. Hacker đã chuyển một phần quỹ đến địa chỉ rút tiền đã đề cập trước đó thông qua việc chuyển nhượng và trao đổi.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch. Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công lại gửi một lượng lớn USDT đến địa chỉ gửi tiền của các nền tảng giao dịch khác thông qua các địa chỉ khác nhau.
Steadefi và CoinShift Hacker tấn công
Vào tháng 8 năm 2023, 624 ETH bị đánh cắp trong sự kiện Steadefi và 900 ETH bị đánh cắp trong sự kiện CoinShift đã được chuyển đến một dịch vụ trộn coin. Sau đó, các quỹ này đã được rút về một số địa chỉ cụ thể.
Vào ngày 12 tháng 10 năm 2023, các địa chỉ này sẽ tập trung chuyển tiền từ dịch vụ trộn tiền đến một địa chỉ mới. Đến tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, sẽ gửi tiền đến một số địa chỉ gửi tiền nhất định.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu sử dụng các giao dịch liên chuỗi và dịch vụ trộn coin để làm mờ nguồn gốc của các khoản tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp vào địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào địa chỉ gửi tiền cụ thể, sau đó được đổi thành tiền tệ pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Lazarus Group, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi động thái của nhóm Hacker này và tiến hành theo dõi sâu về phương thức Rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc chống lại các loại tội phạm như vậy và thu hồi tài sản bị đánh cắp.