Tổ chức Hacker Triều Tiên Lazarus Group: Phân tích phương pháp trộm cắp và rửa tiền tài sản tiền điện tử
Một báo cáo mật của Liên Hợp Quốc cho thấy, sau khi một sàn giao dịch tài sản tiền điện tử bị tấn công bởi hacker vào năm ngoái, Nhóm Lazarus đã rửa tiền 147,5 triệu USD thông qua một nền tảng tiền điện tử nào đó vào tháng 3 năm nay.
Các thanh tra của Ủy ban Trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ do hacker của Triều Tiên nhằm vào các công ty tài sản tiền điện tử xảy ra từ năm 2017 đến năm 2024, với số tiền khoảng 3,6 tỷ USD. Điều này bao gồm vụ trộm 147,5 triệu USD tại một sàn giao dịch tài sản tiền điện tử vào cuối năm ngoái, sau đó số tiền đã hoàn tất việc rửa tiền vào tháng 3 năm nay.
Năm 2022, Mỹ đã áp dụng lệnh trừng phạt đối với nền tảng tiền điện tử này. Năm 2023, hai nhà đồng sáng lập của nó bị buộc tội hỗ trợ rửa tiền hơn 1 tỷ đô la, một phần liên quan đến Nhóm Lazarus.
Một cuộc khảo sát của một nhà phân tích tài sản tiền điện tử cho thấy, Nhóm Lazarus đã rửa tiền trị giá 200 triệu USD từ tài sản tiền điện tử thành tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính, nhắm đến nhiều mục tiêu trên toàn cầu, bao gồm hệ thống ngân hàng, Tài sản tiền điện tử sàn giao dịch, cơ quan chính phủ và doanh nghiệp tư nhân. Dưới đây sẽ phân tích một số trường hợp điển hình, tiết lộ chiến lược tấn công và phương pháp kỹ thuật của tổ chức này.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo qua mạng của nhóm Lazarus
Theo các phương tiện truyền thông châu Âu, Lazarus từng nhắm tới các công ty quân sự và hàng không vũ trụ tại châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội, lừa đảo nhân viên tải xuống các tệp PDF chứa phần mềm độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Cách tấn công này sử dụng thao túng tâm lý, khiến nạn nhân lơ là và thực hiện các thao tác nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào lỗ hổng hệ thống, đánh cắp thông tin nhạy cảm.
Lazarus còn thực hiện một cuộc tấn công kéo dài sáu tháng đối với một nhà cung cấp dịch vụ thanh toán Tài sản tiền điện tử, dẫn đến việc 37 triệu USD bị đánh cắp. Các phương thức tấn công bao gồm việc gửi cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán, và thực hiện tấn công bẻ khóa mật khẩu.
Phân tích các sự kiện tấn công của CoinBerry, Unibright
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tài sản tiền điện tử đã bị tấn công:
Ngày 24 tháng 8, một ví của sàn giao dịch tài sản tiền điện tử ở Canada đã bị đánh cắp.
Ngày 11 tháng 9, một dự án do rò rỉ khóa riêng, dẫn đến việc chuyển khoản không được ủy quyền trị giá 400.000 đô la.
Ngày 6 tháng 10, ví nóng của một nền tảng giao dịch đã bị hacker tấn công, thiệt hại 75.000 USD tài sản tiền điện tử.
Đầu năm 2021, các quỹ từ những vụ tấn công này được tập trung vào một địa chỉ cụ thể. Từ ngày 11 đến 15 tháng 1, những kẻ tấn công đã gửi và rút gần 4500 đồng ETH thông qua một dịch vụ trộn coin nào đó.
Đến năm 2023, sau nhiều lần chuyển giao và hoán đổi, số tiền này cuối cùng đã được tập hợp vào địa chỉ rút tiền của quỹ từ các sự kiện an ninh khác. Kẻ tấn công sau đó đã gửi số tiền bị đánh cắp đến một số địa chỉ gửi tiền.
Người sáng lập một nền tảng hỗ trợ đã bị hacker tấn công
Ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 NXM (khoảng 8,3 triệu USD).
Kẻ tấn công chuyển đổi và trao đổi tiền qua nhiều địa chỉ, thực hiện các hoạt động làm rối, phân tán và tập hợp. Một phần tiền được chuyển qua chuỗi sang mạng Bitcoin, sau đó chuyển lại Ethereum, rồi được xử lý qua nền tảng trộn coin, cuối cùng gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ hacker đã gửi hơn 2500 ETH đến một dịch vụ trộn coin. Vài giờ sau, một địa chỉ khác bắt đầu thực hiện các thao tác rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một địa chỉ gửi tiền. Từ tháng 2 đến tháng 6 năm 2023, lại thông qua một địa chỉ cụ thể đã gửi tổng cộng 11,17 triệu USDT đến các địa chỉ gửi tiền khác.
Cuộc tấn công của Hacker Steadefi và CoinShift
Vào tháng 8 năm 2023, 624 ETH bị đánh cắp trong sự kiện Steadefi và 900 ETH bị đánh cắp trong sự kiện Coinshift đã được chuyển đến một dịch vụ trộn coin.
Sau đó, tiền bị rút về nhiều địa chỉ. Vào ngày 12 tháng 10 năm 2023, số tiền từ những địa chỉ này được tập hợp về một địa chỉ mới.
Vào tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, đã gửi tiền đến một số địa chỉ gửi tiền.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thường bao gồm các bước sau: sau khi đánh cắp tài sản tiền điện tử, chúng được làm mờ thông qua các thao tác chuỗi chéo và dịch vụ trộn. Sau khi làm mờ, tài sản sẽ được rút về địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Cuối cùng, thông qua dịch vụ giao dịch ngoài sàn, tài sản tiền điện tử sẽ được đổi thành tiền pháp định.
Cuộc tấn công liên tục và quy mô lớn này đã tạo ra một mối đe dọa an ninh nghiêm trọng đối với ngành Web3. Các cơ quan liên quan đang tiếp tục theo dõi băng nhóm hacker này, theo dõi động thái và cách thức rửa tiền của họ, nhằm hỗ trợ đấu tranh chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
6
Chia sẻ
Bình luận
0/400
StableNomad
· 07-16 19:06
thực sự... $3.6B đã bị đánh cắp và họ vẫn đang sử dụng phishing cơ bản? dòng tiền thông minh di chuyển theo những cách bí ẩn thật
Nhóm Lazarus: Hé lộ phương pháp đánh cắp và rửa tiền 3,6 tỷ đô la Tài sản tiền điện tử
Tổ chức Hacker Triều Tiên Lazarus Group: Phân tích phương pháp trộm cắp và rửa tiền tài sản tiền điện tử
Một báo cáo mật của Liên Hợp Quốc cho thấy, sau khi một sàn giao dịch tài sản tiền điện tử bị tấn công bởi hacker vào năm ngoái, Nhóm Lazarus đã rửa tiền 147,5 triệu USD thông qua một nền tảng tiền điện tử nào đó vào tháng 3 năm nay.
Các thanh tra của Ủy ban Trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ do hacker của Triều Tiên nhằm vào các công ty tài sản tiền điện tử xảy ra từ năm 2017 đến năm 2024, với số tiền khoảng 3,6 tỷ USD. Điều này bao gồm vụ trộm 147,5 triệu USD tại một sàn giao dịch tài sản tiền điện tử vào cuối năm ngoái, sau đó số tiền đã hoàn tất việc rửa tiền vào tháng 3 năm nay.
Năm 2022, Mỹ đã áp dụng lệnh trừng phạt đối với nền tảng tiền điện tử này. Năm 2023, hai nhà đồng sáng lập của nó bị buộc tội hỗ trợ rửa tiền hơn 1 tỷ đô la, một phần liên quan đến Nhóm Lazarus.
Một cuộc khảo sát của một nhà phân tích tài sản tiền điện tử cho thấy, Nhóm Lazarus đã rửa tiền trị giá 200 triệu USD từ tài sản tiền điện tử thành tiền pháp định trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính, nhắm đến nhiều mục tiêu trên toàn cầu, bao gồm hệ thống ngân hàng, Tài sản tiền điện tử sàn giao dịch, cơ quan chính phủ và doanh nghiệp tư nhân. Dưới đây sẽ phân tích một số trường hợp điển hình, tiết lộ chiến lược tấn công và phương pháp kỹ thuật của tổ chức này.
Các cuộc tấn công kỹ thuật xã hội và lừa đảo qua mạng của nhóm Lazarus
Theo các phương tiện truyền thông châu Âu, Lazarus từng nhắm tới các công ty quân sự và hàng không vũ trụ tại châu Âu và Trung Đông. Họ đã đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội, lừa đảo nhân viên tải xuống các tệp PDF chứa phần mềm độc hại, từ đó thực hiện các cuộc tấn công lừa đảo.
Cách tấn công này sử dụng thao túng tâm lý, khiến nạn nhân lơ là và thực hiện các thao tác nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào lỗ hổng hệ thống, đánh cắp thông tin nhạy cảm.
Lazarus còn thực hiện một cuộc tấn công kéo dài sáu tháng đối với một nhà cung cấp dịch vụ thanh toán Tài sản tiền điện tử, dẫn đến việc 37 triệu USD bị đánh cắp. Các phương thức tấn công bao gồm việc gửi cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán, và thực hiện tấn công bẻ khóa mật khẩu.
Phân tích các sự kiện tấn công của CoinBerry, Unibright
Từ tháng 8 đến tháng 10 năm 2020, nhiều sàn giao dịch và dự án tài sản tiền điện tử đã bị tấn công:
Đầu năm 2021, các quỹ từ những vụ tấn công này được tập trung vào một địa chỉ cụ thể. Từ ngày 11 đến 15 tháng 1, những kẻ tấn công đã gửi và rút gần 4500 đồng ETH thông qua một dịch vụ trộn coin nào đó.
Đến năm 2023, sau nhiều lần chuyển giao và hoán đổi, số tiền này cuối cùng đã được tập hợp vào địa chỉ rút tiền của quỹ từ các sự kiện an ninh khác. Kẻ tấn công sau đó đã gửi số tiền bị đánh cắp đến một số địa chỉ gửi tiền.
Người sáng lập một nền tảng hỗ trợ đã bị hacker tấn công
Ngày 14 tháng 12 năm 2020, tài khoản cá nhân của người sáng lập một nền tảng hỗ trợ đã bị đánh cắp 370.000 NXM (khoảng 8,3 triệu USD).
Kẻ tấn công chuyển đổi và trao đổi tiền qua nhiều địa chỉ, thực hiện các hoạt động làm rối, phân tán và tập hợp. Một phần tiền được chuyển qua chuỗi sang mạng Bitcoin, sau đó chuyển lại Ethereum, rồi được xử lý qua nền tảng trộn coin, cuối cùng gửi đến nền tảng rút tiền.
Từ ngày 16 đến 20 tháng 12 năm 2020, một địa chỉ hacker đã gửi hơn 2500 ETH đến một dịch vụ trộn coin. Vài giờ sau, một địa chỉ khác bắt đầu thực hiện các thao tác rút tiền.
Từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào một địa chỉ gửi tiền. Từ tháng 2 đến tháng 6 năm 2023, lại thông qua một địa chỉ cụ thể đã gửi tổng cộng 11,17 triệu USDT đến các địa chỉ gửi tiền khác.
Cuộc tấn công của Hacker Steadefi và CoinShift
Vào tháng 8 năm 2023, 624 ETH bị đánh cắp trong sự kiện Steadefi và 900 ETH bị đánh cắp trong sự kiện Coinshift đã được chuyển đến một dịch vụ trộn coin.
Sau đó, tiền bị rút về nhiều địa chỉ. Vào ngày 12 tháng 10 năm 2023, số tiền từ những địa chỉ này được tập hợp về một địa chỉ mới.
Vào tháng 11 năm 2023, địa chỉ này bắt đầu chuyển tiền, cuối cùng thông qua trung gian và đổi tiền, đã gửi tiền đến một số địa chỉ gửi tiền.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thường bao gồm các bước sau: sau khi đánh cắp tài sản tiền điện tử, chúng được làm mờ thông qua các thao tác chuỗi chéo và dịch vụ trộn. Sau khi làm mờ, tài sản sẽ được rút về địa chỉ mục tiêu và gửi đến một nhóm địa chỉ cố định để rút tiền. Cuối cùng, thông qua dịch vụ giao dịch ngoài sàn, tài sản tiền điện tử sẽ được đổi thành tiền pháp định.
Cuộc tấn công liên tục và quy mô lớn này đã tạo ra một mối đe dọa an ninh nghiêm trọng đối với ngành Web3. Các cơ quan liên quan đang tiếp tục theo dõi băng nhóm hacker này, theo dõi động thái và cách thức rửa tiền của họ, nhằm hỗ trợ đấu tranh chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.