Nhóm tội phạm mạnh mẽ nhất trong lịch sử về cách thức đánh cắp tiền điện tử? Phân tích chi tiết cách thức rửa tiền của tổ chức Hacker Lazarus Group

Trước đó, một báo cáo bí mật của Liên Hợp Quốc được Reuters thu được cho thấy, nhóm hacker Lazarus của Triều Tiên đã rửa tiền 147,5 triệu USD thông qua nền tảng tiền ảo Tornado Cash vào tháng 3 năm nay, sau khi đánh cắp tiền từ một sàn giao dịch tiền điện tử vào năm ngoái.

Nhân viên giám sát đã thông báo cho Ủy ban trừng phạt của Hội đồng Bảo an Liên Hiệp Quốc trong một tài liệu trước đó rằng họ đã tiến hành điều tra 97 vụ tấn công mạng được cho là của hacker Triều Tiên nhằm vào các công ty tiền điện tử từ năm 2017 đến năm 2024, tổng giá trị khoảng 3,6 tỷ USD. Trong số đó có một vụ tấn công vào cuối năm ngoái, tiền mật mã HTX trị giá 147,5 triệu USD đã bị đánh cắp và sau đó được rửa tiền vào tháng 3 năm nay.

Mỹ đã áp đặt lệnh trừng phạt đối với Tornado Cash vào năm 2022. Vào năm 2023, hai người sáng lập được cáo buộc vi phạm luật pháp khi hỗ trợ rửa tiền hơn 10 tỷ đô la, trong đó bao gồm tổ chức tội phạm mạng liên quan đến Triều Tiên Lazarus Group.

Theo điều tra của nhà phân tích tiền điện tử ZachXBT, Nhóm Lazarus đã rửa tiền 2 tỷ đô la giá trị của tiền điện tử thành tiền pháp định từ tháng 8 năm 2020 đến tháng 10 năm 2023.

Trong lĩnh vực an ninh mạng, Nhóm Lazarus đã bị buộc tội thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ không chỉ giới hạn trong một ngành hoặc khu vực cụ thể, mà lan rộng trên toàn cầu, từ hệ thống ngân hàng đến sàn giao dịch tiền điện tử, từ cơ quan chính phủ đến doanh nghiệp tư nhân. Tiếp theo, chúng ta sẽ tập trung phân tích một số trường hợp tấn công điển hình, để tiết lộ cách Lazarus Group đã thành công trong việc thực hiện những cuộc tấn công đáng ngạc nhiên này thông qua các chiến lược và phương pháp công nghệ phức tạp của mình.

Nhóm Lazarus thực hiện các cuộc tấn công kỹ thuật xã hội và lừa đảo mạng

Trường hợp này đến từ các báo cáo truyền thông châu Âu, Lazarus trước đây đã nhắm vào các công ty quân sự và hàng không vũ trụ ở châu Âu và Trung Đông, sau đó đăng tin tuyển dụng trên LinkedIn và các nền tảng khác để lừa dối nhân viên, yêu cầu ứng viên tải xuống PDF đã triển khai tệp thực thi và tiến hành tấn công lừa đảo.

Cả kỹ thuật xã hội và cuộc tấn công lừa đảo mạng đều cố gắng sử dụng tâm lý thao tác để lừa dối nạn nhân giảm bớt sự cảnh giác và thực hiện các hành vi như nhấp chuột vào liên kết hoặc tải xuống tệp, đe dọa an ninh của họ.

Họ sử dụng phần mềm độc hại để nhắm mục tiêu vào lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.

Trong một cuộc chiến kéo dài 6 tháng nhằm vào nhà cung cấp thanh toán tiền điện tử CoinsPaid, Lazarus đã sử dụng phương pháp tương tự, dẫn đến việc CoinsPaid bị đánh cắp 37 triệu USD.

Trong quá trình hoạt động, nó đã gửi các cơ hội việc làm giả cho kỹ sư, tiến hành tấn công phủ định phân tán và thử nghiệm nhiều mật khẩu có thể để tấn công Brute Force.

Tạo ra các sự kiện tấn công như CoinBerry, Unibright v.v.

Ngày 24 tháng 8 năm 2020, Ví tiền sàn giao dịch tiền điện tử CoinBerry của Canada đã bị đánh cắp.

Địa chỉ Hacker:

0xA06957c9C8871ff248326A1DA552213AB26A11AE

Ngày 11 tháng 9 năm 2020, do lỗi rò rỉ khóa riêng, trong nhiều ví được kiểm soát bởi đội ngũ Unbright đã xảy ra giao dịch chuyển tiền trái phép trị giá 400.000 USD.

Địa chỉ Hacker:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

Vào ngày 6 tháng 10 năm 2020, tài sản mã hóa trị giá 750.000 đô la đã được chuyển nhượng mà không được phép trong Ví nóng CoinMetro do vi phạm an ninh.

Địa chỉ Hacker：

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: Sơ đồ dòng tiền của khoản tiền bị đánh cắp

Đầu năm 2021, tiền tài của các vụ tấn công đã được tổng hợp tại địa chỉ sau:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603.

Ngày 11 tháng 1 năm 2021, địa chỉ 0x0864b5 đã gửi 3000ETH vào Tornado Cash, sau đó lại gửi hơn 1800 đồng ETH thông qua địa chỉ 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 vào Tornado Cash.

Sau đó, từ ngày 11 tháng 1 đến ngày 15 tháng 1, đã rút gần 4500 ETH từ Tornado Cash vào địa chỉ 0x05492cbc8fb228103744ecca0df62473b2858810.

Đến năm 2023, sau nhiều lần chuyển đổi, kẻ tấn công cuối cùng đã tổng hợp tiền tệ tới địa chỉ rút tiền của sự kiện an ninh khác nhau, theo dõi đồ thị theo dõi tiền có thể thấy, kẻ tấn công tiếp tục gửi tiền đã đánh cắp đến địa chỉ gửi tiền của Noones và địa chỉ gửi tiền của Paxful.

Người sáng lập NexusMutual (HughKarp) bị tấn công bởi Hacker

Ngày 14 tháng 12 năm 2020, người sáng lập Nexus Mutual - Hugh Karp đã bị mất cắp 370.000 NXM (tương đương 8,3 triệu USD).

Beosin KYT: Đồ thị luồng tiền bị đánh cắp

Bị đánh cắp tiền được chuyển giữa một số địa chỉ dưới đây và đổi thành tiền khác.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b

0x09923e35f19687a524bbca7d42b92b6748534f25

0x0784051d5136a5ccb47ddb3a15243890f5268482

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Nhóm Lazarus đã thực hiện các hoạt động như làm mờ, phân tán và thu thập tiền qua các địa chỉ này. Ví dụ, một phần tiền đã được chuyển đổi sang chuỗi Bitcoin và sau đó chuyển lại chuỗi Ethereum thông qua một loạt các giao dịch, sau đó sử dụng nền tảng trộn tiền để làm mờ tiền và sau đó gửi tiền vào nền tảng rút tiền.

Ngày 16 tháng 12 năm 2020 đến ngày 20 tháng 12 năm 2020, một địa chỉ hacker 0x078405 đã gửi hơn 2500ETH đến Tornado Cash, và vài giờ sau, dựa trên các đặc điểm liên quan, có thể thấy địa chỉ 0x78a9903af04c8e887df5290c91917f71ae028137 đã bắt đầu thực hiện thao tác rút tiền.

Hacker chuyển một phần tiền từ sự kiện trước đó đến địa chỉ rút tiền tập trung liên quan đến sự việc.

Sau đó, từ tháng 5 đến tháng 7/2021, kẻ tấn công đã chuyển 11 triệu USDT đến địa chỉ Bixin nạp tiền.

Năm 2023, từ tháng 2 đến tháng 3, kẻ tấn công đã gửi 2,77 triệu USDT đến địa chỉ gửi tiền Paxful 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Trong khoảng tháng 4-6 năm 2023, kẻ tấn công đã gửi 8,4 triệu USDT từ địa chỉ 0xcbf04b011eebc684d380db5f8e661685150e3a9e đến địa chỉ gửi tiền của Noones.

Tấn công Hacker vào Steadefi và CoinShift

Beosin KYT: Biểu đồ dòng tiền của tài sản bị đánh cắp

Địa chỉ tấn công sự cố Steadefi

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Sự kiện Coinshift địa chỉ tấn công

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

Vào tháng 8 năm 2023, 624 ETH bị đánh cắp trong sự kiện Steadefi đã được chuyển tới Tornado Cash, và cũng trong tháng đó, 900 ETH bị đánh cắp trong sự kiện Coinshift cũng đã được chuyển tới Tornado Cash.

Sau khi chuyển ETH vào Tornado Cash, hãy ngay lập tức rút tiền vào địa chỉ dưới đây:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

Vào ngày 12 tháng 10 năm 2023, số tiền được rút từ Tornado Cash đã được gửi đến địa chỉ 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 từ ba địa chỉ đã nêu trên.

Vào tháng 11/2023, 0x5d65ae Địa chỉ bắt đầu chuyển tiền, cuối cùng được gửi đến địa chỉ nạp tiền Paxful cũng như địa chỉ Noones nạp tiền thông qua phương tiện công cộng và sàn giao dịch.

Tổng kết sự kiện

Trên đây là mô tả về các hoạt động gần đây của nhóm hacker Lazarus Group của Triều Tiên và phân tích, tổng hợp về cách họ rửa tiền: Sau khi đánh cắp tài sản mã hóa, Lazarus Group thường sử dụng phương pháp chuyển tiền qua nhiều chuỗi cross rồi chuyển vào các dịch vụ trộn tiền như Tornado Cash để làm mờ sự xuất xứ của tiền. Sau khi đã làm mờ, Lazarus Group sẽ rút tài sản đã đánh cắp và gửi đến một số địa chỉ cố định để tiến hành rút tiền. Trước đây, tài sản mã hóa bị đánh cắp thường được lưu trữ tại địa chỉ gửi tiền của Paxful và Noones, sau đó qua dịch vụ OTC để đổi tài sản mã hóa thành tiền pháp định.

Trong bối cảnh các cuộc tấn công liên tục và lớn mạnh từ Nhóm Lazarus, ngành công nghiệp Web3 đang đối mặt với những thách thức an ninh lớn. Beosin tiếp tục theo dõi nhóm hacker này và sẽ tiến hành theo dõi động thái và phương thức rửa tiền của họ một cách cẩn thận hơn, giúp cho các dự án, cơ quan quản lý và cơ quan thực thi pháp luật đấu tranh chống lại loại tội phạm này, đòi lại tài sản bị đánh cắp.