Phân tích hoạt động và phương pháp rửa tiền của nhóm Hacker Lazarus Group ở Triều Tiên
Một báo cáo bí mật của Liên Hợp Quốc tiết lộ rằng vào năm ngoái, một sàn giao dịch tiền điện tử đã bị tấn công bởi Nhóm Lazarus, với khoảng 147.5 triệu USD bị đánh cắp. Vào tháng 3 năm nay, số tiền này đã hoàn tất quá trình rửa tiền thông qua một nền tảng tiền ảo nào đó.
Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ của hacker Triều Tiên nhằm vào các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với số tiền lên tới 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD tại một sàn giao dịch tiền điện tử vào cuối năm ngoái, quá trình rửa tiền của vụ án này đã hoàn tất vào tháng 3 năm nay.
Vào năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với một nền tảng tiền ảo nào đó. Năm sau, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ đô la, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Một cuộc khảo sát của một nhà phân tích tiền điện tử cho thấy, nhóm Lazarus đã rửa tiền trị giá 200 triệu đô la Mỹ từ tiền điện tử sang tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ rất đa dạng, bao gồm hệ thống ngân hàng, sàn giao dịch tiền điện tử, cơ quan chính phủ và doanh nghiệp tư nhân.
Các cuộc tấn công xã hội và lừa đảo qua mạng của Nhóm Lazarus
Các phương tiện truyền thông châu Âu đưa tin rằng Lazarus từng nhắm tới các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, bằng cách lừa đảo nhân viên thông qua việc đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội. Họ yêu cầu các ứng viên tải xuống PDF chứa tệp thực thi, từ đó thực hiện các cuộc tấn công lừa đảo.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo trực tuyến này cố gắng lợi dụng sự thao túng tâm lý, khiến nạn nhân lơ là và thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của chúng có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân để đánh cắp thông tin nhạy cảm.
Lazarus còn sử dụng phương pháp tương tự để thực hiện một cuộc tấn công kéo dài sáu tháng đối với một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến tổn thất 37 triệu USD cho công ty. Trong suốt quá trình tấn công, họ đã gửi cho các kỹ sư các cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều vụ tấn công sàn giao dịch tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tiền điện tử đã bị tấn công:
Ngày 24 tháng 8, ví của một sàn giao dịch tiền điện tử ở Canada đã bị đánh cắp.
Vào ngày 11 tháng 9, một dự án do rò rỉ khóa riêng, đã xảy ra việc chuyển khoản không được phép trị giá 400.000 USD từ nhiều ví mà đội ngũ kiểm soát.
Ngày 6 tháng 10, một sàn giao dịch khác đã bị đánh cắp 750.000 USD tài sản tiền điện tử từ ví nóng do lỗ hổng bảo mật.
Những khoản tiền bị đánh cắp này đã trải qua nhiều lần chuyển nhượng và làm mờ, cuối cùng tập trung vào một số địa chỉ cụ thể. Kẻ tấn công đã gửi tiền đến một số địa chỉ gửi tiền thông qua nhiều lần chuyển khoản và đổi tiền.
Người sáng lập nền tảng bảo hiểm tương hỗ nào đó bị tấn công bởi Hacker
Ngày 14 tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm tương trợ đã bị tấn công bởi Hacker, mất 370.000 mã thông báo của nền tảng, trị giá khoảng 8,3 triệu đô la Mỹ.
Quỹ bị đánh cắp đã được chuyển giữa nhiều địa chỉ và đổi thành tài sản khác. Nhóm Lazarus đã thực hiện các hoạt động như làm mờ, phân tán và tập hợp quỹ thông qua những địa chỉ này. Một phần quỹ đã được chuyển qua chuỗi đến mạng Bitcoin, rồi chuyển lại mạng Ethereum, sau đó được làm mờ qua nền tảng trộn tiền và cuối cùng gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ Hacker đã chuyển hơn 2500 ETH đến một nền tảng trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các thao tác rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch nào đó.
Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công đã gửi hơn 11 triệu USDT đến các địa chỉ gửi tiền khác nhau thông qua nhiều địa chỉ.
Các sự kiện tấn công gần đây
Vào tháng 8 năm 2023, 624 ETH và 900 ETH bị đánh cắp trong hai vụ tấn công đã được chuyển đến một nền tảng hoán đổi tiền. Sau đó, các khoản tiền này đã được rút về một số địa chỉ cụ thể.
Ngày 12 tháng 10 năm 2023, các quỹ từ những địa chỉ này được tập trung vào một địa chỉ mới. Đến tháng 11, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, gửi quỹ đến một số địa chỉ gửi tiền.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu thông qua các thao tác xuyên chuỗi và sử dụng máy trộn để làm mờ nguồn gốc của tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào một địa chỉ gửi tiền cụ thể, sau đó được đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi băng nhóm hacker này và sẽ theo dõi thêm các hoạt động và phương thức rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc đấu tranh chống lại các tội phạm như vậy, và thu hồi tài sản bị đánh cắp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
6
Chia sẻ
Bình luận
0/400
consensus_failure
· 07-18 15:36
36 tỷ bạn có chịu nổi không? Kha kha.
Xem bản gốcTrả lời0
ZenChainWalker
· 07-17 14:51
Thật là một hành động lớn, ngay cả kẻ trộm cũng đã chạy đến Hội đồng Bảo an.
Xem bản gốcTrả lời0
SmartContractWorker
· 07-16 05:37
đồ ngốc Rekt Hacker phát tài
Xem bản gốcTrả lời0
NotSatoshi
· 07-16 05:29
Chỉ thế này thôi à? Cười chết tôi.
Xem bản gốcTrả lời0
NFTHoarder
· 07-16 05:23
Triều Tiên chơi đùa với mọi người cũng quá mạnh mẽ.
Nhóm hacker Lazarus của Triều Tiên rửa tiền 200 triệu đô la Tài sản tiền điện tử, nhiều sàn giao dịch trở thành mục tiêu.
Phân tích hoạt động và phương pháp rửa tiền của nhóm Hacker Lazarus Group ở Triều Tiên
Một báo cáo bí mật của Liên Hợp Quốc tiết lộ rằng vào năm ngoái, một sàn giao dịch tiền điện tử đã bị tấn công bởi Nhóm Lazarus, với khoảng 147.5 triệu USD bị đánh cắp. Vào tháng 3 năm nay, số tiền này đã hoàn tất quá trình rửa tiền thông qua một nền tảng tiền ảo nào đó.
Các thanh tra của Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ của hacker Triều Tiên nhằm vào các công ty tiền điện tử xảy ra từ năm 2017 đến 2024, với số tiền lên tới 3,6 tỷ USD. Trong số đó có vụ trộm 147,5 triệu USD tại một sàn giao dịch tiền điện tử vào cuối năm ngoái, quá trình rửa tiền của vụ án này đã hoàn tất vào tháng 3 năm nay.
Vào năm 2022, Hoa Kỳ đã áp đặt lệnh trừng phạt đối với một nền tảng tiền ảo nào đó. Năm sau, hai người đồng sáng lập của nền tảng này bị cáo buộc đã hỗ trợ rửa tiền hơn 1 tỷ đô la, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Một cuộc khảo sát của một nhà phân tích tiền điện tử cho thấy, nhóm Lazarus đã rửa tiền trị giá 200 triệu đô la Mỹ từ tiền điện tử sang tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ rất đa dạng, bao gồm hệ thống ngân hàng, sàn giao dịch tiền điện tử, cơ quan chính phủ và doanh nghiệp tư nhân.
Các cuộc tấn công xã hội và lừa đảo qua mạng của Nhóm Lazarus
Các phương tiện truyền thông châu Âu đưa tin rằng Lazarus từng nhắm tới các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, bằng cách lừa đảo nhân viên thông qua việc đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội. Họ yêu cầu các ứng viên tải xuống PDF chứa tệp thực thi, từ đó thực hiện các cuộc tấn công lừa đảo.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo trực tuyến này cố gắng lợi dụng sự thao túng tâm lý, khiến nạn nhân lơ là và thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của chúng có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân để đánh cắp thông tin nhạy cảm.
Lazarus còn sử dụng phương pháp tương tự để thực hiện một cuộc tấn công kéo dài sáu tháng đối với một nhà cung cấp dịch vụ thanh toán tiền điện tử, dẫn đến tổn thất 37 triệu USD cho công ty. Trong suốt quá trình tấn công, họ đã gửi cho các kỹ sư các cơ hội việc làm giả, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều vụ tấn công sàn giao dịch tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tiền điện tử đã bị tấn công:
Những khoản tiền bị đánh cắp này đã trải qua nhiều lần chuyển nhượng và làm mờ, cuối cùng tập trung vào một số địa chỉ cụ thể. Kẻ tấn công đã gửi tiền đến một số địa chỉ gửi tiền thông qua nhiều lần chuyển khoản và đổi tiền.
Người sáng lập nền tảng bảo hiểm tương hỗ nào đó bị tấn công bởi Hacker
Ngày 14 tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm tương trợ đã bị tấn công bởi Hacker, mất 370.000 mã thông báo của nền tảng, trị giá khoảng 8,3 triệu đô la Mỹ.
Quỹ bị đánh cắp đã được chuyển giữa nhiều địa chỉ và đổi thành tài sản khác. Nhóm Lazarus đã thực hiện các hoạt động như làm mờ, phân tán và tập hợp quỹ thông qua những địa chỉ này. Một phần quỹ đã được chuyển qua chuỗi đến mạng Bitcoin, rồi chuyển lại mạng Ethereum, sau đó được làm mờ qua nền tảng trộn tiền và cuối cùng gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ Hacker đã chuyển hơn 2500 ETH đến một nền tảng trộn tiền. Vài giờ sau, một địa chỉ liên quan khác bắt đầu thực hiện các thao tác rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch nào đó.
Từ tháng 2 đến tháng 6 năm 2023, kẻ tấn công đã gửi hơn 11 triệu USDT đến các địa chỉ gửi tiền khác nhau thông qua nhiều địa chỉ.
Các sự kiện tấn công gần đây
Vào tháng 8 năm 2023, 624 ETH và 900 ETH bị đánh cắp trong hai vụ tấn công đã được chuyển đến một nền tảng hoán đổi tiền. Sau đó, các khoản tiền này đã được rút về một số địa chỉ cụ thể.
Ngày 12 tháng 10 năm 2023, các quỹ từ những địa chỉ này được tập trung vào một địa chỉ mới. Đến tháng 11, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, gửi quỹ đến một số địa chỉ gửi tiền.
Tóm tắt
Nhóm Lazarus sau khi đánh cắp tài sản tiền điện tử, chủ yếu thông qua các thao tác xuyên chuỗi và sử dụng máy trộn để làm mờ nguồn gốc của tiền. Sau khi làm mờ, họ sẽ rút tài sản bị đánh cắp đến địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Tài sản tiền điện tử bị đánh cắp thường được gửi vào một địa chỉ gửi tiền cụ thể, sau đó được đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Đối mặt với các cuộc tấn công liên tục và quy mô lớn của Nhóm Lazarus, ngành Web3 đang phải đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang tiếp tục theo dõi băng nhóm hacker này và sẽ theo dõi thêm các hoạt động và phương thức rửa tiền của họ, nhằm hỗ trợ các dự án, cơ quan quản lý và các cơ quan thực thi pháp luật trong việc đấu tranh chống lại các tội phạm như vậy, và thu hồi tài sản bị đánh cắp.