Ngoài việc đánh cắp crypto, hacker Triều Tiên còn học cách khai thác crypto .
Được biên soạn bởi: Giá trị Chuỗi carbon
Gần đây, theo một báo cáo do công ty an ninh mạng Recorded Future công bố, Lazarus Group, một nhóm hacker có liên hệ với Triều Tiên, đã đánh cắp 3 tỷ USD crypto trong sáu năm qua.
Báo cáo cho biết chỉ riêng trong năm 2022, Tập đoàn Lazarus đã cướp được 1,7 tỷ USD crypto , có khả năng tài trợ cho các dự án của Triều Tiên.
Chainaanalysis, một công ty phân tích dữ liệu blockchain , cho trong đó 1,1 tỷ USD đã bị đánh cắp từ nền tảng DeFi. Bộ An ninh Nội địa Hoa Kỳ đã công bố báo cáo vào tháng 9 như một phần của Chương trình Trao đổi Phân tích (AEP), trong đó cũng nêu bật việc khai thác các giao thức DeFi của Lazarus.
Chuyên môn của Tập đoàn Lazarus là trộm cắp tài chính. Năm 2016, họ đột nhập vào Ngân hàng Trung ương Bangladesh và đánh cắp 81 triệu USD. Năm 2018, họ đã tấn công sàn giao dịch crypto Coincheck của Nhật Bản, đánh cắp 530 triệu USD và Ngân hàng Negara Malaysia, đánh cắp 390 triệu USD.
Những điểm nổi bật của Báo cáo tổng hợp giá trị Chuỗi cacbon để bạn tham khảo:
Kể từ năm 2017, Triều Tiên đã ngành công nghiệp crypto là mục tiêu của các cuộc tấn công mạng, đánh cắp tổng cộng hơn 3 tỷ USD giá trị crypto. Trước đó, Triều Tiên đã tấn công mạng SWIFT và đánh cắp tiền từ các tổ chức tài chính. Loại hoạt động này đã thu hút sự chú ý của các cơ quan quốc tế. Do đó, các tổ chức tài chính đã đầu tư vào việc cải thiện khả năng phòng vệ an ninh mạng của chính họ.
Khi crypto bắt đầu trở nên phổ biến và trở thành xu hướng chủ đạo vào năm 2017, hacker Triều Tiên đã chuyển mục tiêu trộm cắp từ tài chính truyền thống sang loại hình tài chính kỹ thuật số mới này, trước tiên nhắm vào thị trường crypto Hàn Quốc và sau đó mở rộng ảnh hưởng trên toàn cầu.
Chỉ riêng trong năm 2022, hacker Triều Tiên bị cáo buộc đánh cắp crypto trị giá khoảng 1,7 tỷ USD, một con số tương đương với khoảng 5% quy mô nền kinh tế nội địa của Triều Tiên hoặc 45% ngân sách quân sự của nước này. Con số này cũng gần gấp 10 lần giá trị xuất khẩu của Triều Tiên vào năm 2021. Theo dữ liệu từ trang web OEC, xuất khẩu của Triều Tiên năm đó là 182 triệu USD.
Cách mà hacker Triều Tiên hoạt động trong ngành công nghiệp crypto để đánh cắp crypto thường tương tự như cách tội phạm mạng truyền thống hoạt động bằng cách sử dụng máy trộn crypto, giao dịch chuỗi Chuỗi và OTC fiat. Tuy nhiên, do nhà nước đứng đằng sau nên hành vi trộm cắp có thể mở rộng quy mô hoạt động. Loại hoạt động này là không thể đối với các băng nhóm tội phạm mạng truyền thống.
Theo theo dõi dữ liệu, khoảng 44% crypto bị đánh cắp vào năm 2022 có liên quan đến hacker của Triều Tiên.
Mục tiêu của hacker Triều Tiên không chỉ giới hạn ở sàn giao dịch. Người dùng cá nhân, các công ty đầu tư mạo hiểm cũng như các công nghệ và giao thức khác đều đã bị hacker Triều Tiên tấn công. Tất cả các tổ chức hoạt động trong ngành này và các cá nhân làm việc ở đó có thể là mục tiêu tiềm năng của hacker Triều Tiên, cho phép chính phủ Triều Tiên tiếp tục hoạt động và gây quỹ.
Bất kỳ người dùng, nhà điều hành sàn giao dịch hoặc người sáng lập công ty khởi nghiệp nào làm việc trong ngành công nghiệp crypto đều phải nhận thức được khả năng bị hacker nhắm đến.
Các tổ chức tài chính truyền thống cũng nên hết sức chú ý đến hoạt động của các nhóm hacker Triều Tiên. Sau khi crypto bị đánh cắp và chuyển đổi thành tiền pháp định, hacker Triều Tiên sẽ chuyển tiền giữa các tài khoản khác nhau để che giấu nguồn gốc. Thông thường, danh tính bị đánh cắp và ảnh bị thay đổi được sử dụng để vượt qua quá trình xác minh AML/KYC. Thông tin nhận dạng cá nhân (PII) của bất kỳ ai trở thành nạn nhân của một vụ xâm nhập có liên quan đến đội ngũ hacker của Triều Tiên có thể được sử dụng để đăng ký tài khoản nhằm hoàn tất quy trình rửa tiền nhằm đánh cắp crypto. Do đó, các công ty hoạt động bên ngoài ngành crypto và tài chính truyền thống cũng nên cảnh giác với hoạt động của nhóm hacker Triều Tiên và liệu dữ liệu hoặc cơ sở hạ tầng của họ có được sử dụng làm bàn đạp cho các cuộc xâm nhập tiếp theo hay không.
Hầu hết các cuộc xâm nhập của các nhóm hacker Triều Tiên đều bắt đầu bằng các chiến dịch Phishing và kỹ thuật xã hội. Một số tổ chức nên đào tạo nhân viên để giám sát hoạt động đó và triển khai xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không cần mật khẩu tuân thủ FIDO2.
Triều Tiên rõ ràng coi việc tiếp tục trộm cắp crypto là nguồn thu nhập chính để tài trợ cho các chương trình quân sự và vũ khí của mình. Mặc dù không rõ bao nhiêu crypto bị đánh cắp đã được sử dụng trực tiếp để tài trợ cho các vụ phóng tên lửa đạn đạo, nhưng rõ ràng là số lượng crypto bị đánh cắp cũng như số lần phóng tên lửa đã tăng lên đáng kể trong những năm gần đây. Nếu không có các quy định chặt chẽ hơn, yêu cầu về an ninh mạng và đầu tư vào an ninh mạng của các công ty crypto, Triều Tiên gần như chắc chắn sẽ tiếp tục dựa vào ngành công nghiệp crypto như một nguồn thu nhập bổ sung để hỗ trợ nhà nước.
Vào ngày 12 tháng 7 năm 2023, công ty phần mềm doanh nghiệp JumpCloud của Mỹ thông báo rằng một hacker được Triều Tiên hậu thuẫn đã xâm nhập vào mạng của họ. Các nhà nghiên cứu của Mandiant sau đó đã đưa ra một báo cáo chỉ ra rằng nhóm chịu trách nhiệm về lần tấn công là UNC4899, có khả năng tương ứng với "Trader Traitor", một nhóm hacker Triều Tiên tập trung vào crypto . Tính đến ngày 22 tháng 8 năm 2023, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra thông báo cho biết các nhóm hacker Triều Tiên đã liên quan đến Atomic Wallet, Alphapo và CoinsPaid trong các cuộc tấn công hacker, đánh cắp tổng cộng 197 triệu USD crypto. Việc đánh cắp crypto này cho phép chính phủ Triều Tiên tiếp tục hoạt động dưới các lệnh trừng phạt quốc tế nghiêm ngặt và tài trợ tới 50% chi phí cho chương trình tên lửa đạn đạo của nước này.
Năm 2017, hacker Triều Tiên đã xâm chiếm sàn giao dịch Bithumb , Youbit và Yapizon Hàn Quốc , đánh cắp crypto trị giá khoảng 82,7 triệu USD vào thời điểm đó. Cũng có báo cáo cho rằng người dùng crypto cũng trở thành mục tiêu sau khi thông tin nhận dạng cá nhân của người dùng Bithumb bị rò rỉ vào tháng 7 năm 2017.
Ngoài việc đánh cắp crypto, hacker Triều Tiên còn học cách khai thác crypto . Vào tháng 4 năm 2017, các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một phần mềm khai thác Monero được cài đặt trong một cuộc xâm nhập APT38.
Vào tháng 1 năm 2018, các nhà nghiên cứu từ Viện An ninh Tài chính Hàn Quốc đã thông báo rằng tổ chức Andariel của Triều Tiên đã xâm chiếm máy chủ của một công ty không được tiết lộ vào mùa hè năm 2017 và sử dụng nó để khai thác khoảng 70 đồng Monero trị giá khoảng 25.000 USD vào thời điểm đó.
Năm 2020, các nhà nghiên cứu bảo mật tiếp tục báo cáo các cuộc tấn công mạng mới của hacker Triều Tiên nhắm vào ngành công nghiệp crypto. Nhóm hacker APT38 của Triều Tiên nhắm mục tiêu vào sàn giao dịch crypto ở Hoa Kỳ, Châu Âu, Nhật Bản, Nga và Israel, sử dụng Linkedin làm phương thức liên hệ ban đầu với các mục tiêu.
Năm 2021 là năm phát triển nhất của ngành công nghiệp crypto ở Triều Tiên, với hacker Triều Tiên đột nhập vào ít nhất bảy tổ chức crypto và đánh cắp crypto trị giá 400 triệu USD. Ngoài ra, hacker Triều Tiên đã bắt đầu nhắm mục tiêu vào Altcoin, bao gồm token ERC-20 và NFT.
Vào tháng 1 năm 2022, các nhà nghiên cứu của Chainalysis đã xác nhận rằng crypto trị giá 170 triệu đô la vẫn có thể được sử dụng kể từ năm 2017.
Các cuộc tấn công đáng chú ý được cho là của APT38 vào năm 2022 bao gồm cầu nối xuyên chuỗi Ronin Network (lỗ 600 triệu USD), cầu Harmony (lỗ 100 triệu USD), cầu Qubit Finance (lỗ 80 triệu USD) và cầu Nomad (lỗ 190 triệu USD) . Lần cuộc tấn công này đặc biệt nhắm vào cầu nối xuyên chuỗi của các nền tảng này. Cầu nối xuyên chuỗi kết nối 2 blockchain, cho phép người dùng gửi một crypto từ blockchain này sang chuỗi khối khác có chứa blockchain crypto khác.
Vào tháng 10 năm 2022, Cơ quan Cảnh sát Quốc gia Nhật Bản thông báo rằng Tập đoàn Lazarus đã thực hiện các cuộc tấn công nhằm vào các công ty hoạt động trong ngành công nghiệp crypto ở Nhật Bản. Mặc dù không có thông tin chi tiết cụ thể nào được cung cấp nhưng tuyên bố lưu ý rằng một số công ty đã bị xâm phạm thành công và crypto bị đánh cắp.
Từ tháng 1 đến tháng 8 năm 2023, APT38 bị cáo buộc đã đánh cắp 200 triệu đô la từ Atomic Wallet ( lần cuộc tấn công với tổng thiệt hại 100 triệu đô la), AlphaPo ( lần cuộc tấn công với tổng thiệt hại 60 triệu đô la) và CoinsPaid (tổn thất 37 triệu đô la). Cũng trong tháng 1, FBI Hoa Kỳ xác nhận rằng APT38 đã mất 100 triệu USD khi đánh cắp tiền ảo Horizon Bridge của Harmony.
Trong cuộc tấn công CoinsPaid vào tháng 7 năm 2023, các nhà điều hành APT38 có thể đã đóng giả là nhà tuyển dụng và gửi email tuyển dụng cũng như tin nhắn LinkedIn nhắm mục tiêu cụ thể đến nhân viên của CoinsPaid. CoinsPaid cho biết APT38 đã mất sáu tháng để cố gắng truy cập vào mạng của mình.
Biện pháp giảm thiểu
- Dưới đây là các khuyến nghị của Tập đoàn Insikt nhằm ngăn chặn các cuộc tấn công mạng của Triều Tiên nhắm vào người dùng và công ty crypto :
- Bật xác thực đa yếu tố (MFA): Sử dụng các thiết bị phần cứng như YubiKey cho ví và giao dịch để tăng cường bảo mật.
- Kích hoạt mọi cài đặt MFA có sẵn cho sàn giao dịch crypto để tối đa hóa việc bảo vệ tài khoản khỏi các hành vi đăng nhập trái phép hoặc trộm cắp.
- Xác minh các tài khoản truyền thông xã hội đã được xác minh bằng cách kiểm tra xem tên người dùng có chứa các ký tự đặc biệt hoặc số thay thế các chữ cái hay không.
- Đảm bảo giao dịch được yêu cầu là hợp pháp và xác minh mọi airdrop hoặc các chương trình khuyến mãi crypto hoặc NFT miễn phí khác.
- Khi nhận airdrop hoặc nội dung khác như Uniswap hoặc các nền tảng lớn khác, hãy luôn kiểm tra nguồn chính thức.
- Luôn kiểm tra URL và theo dõi các chuyển hướng sau khi nhấn liên kết để đảm bảo trang web này là chính thức và không phải là trang Phishing.
Dưới đây là một số mẹo để bảo vệ chống lừa đảo trên mạng xã hội:
- Hãy hết sức thận trọng khi giao dịch crypto. Tài sảntiền điện tử không có bất kỳ biện pháp bảo vệ thể chế nào để giảm thiểu gian lận “truyền thống”.
- Sử dụng ví phần cứng. Ví phần cứng có thể an toàn hơn "ví nóng" như MetaMask, vốn luôn được kết nối với Internet. Đối với ví phần cứng được kết nối với MetaMask, tất cả các giao dịch phải được ví phần cứng chấp thuận, cung cấp thêm một lớp bảo mật.
- Chỉ sử dụng các dApp đáng tin cậy (ứng dụng phi tập trung) và xác minh địa chỉ hợp đồng thông minh để xác nhận tính xác thực và tính toàn vẹn của chúng. Các tương tác đúc NFT thực sự dựa trên các hợp đồng thông minh có thể là một phần của dApp lớn hơn. Địa chỉ hợp đồng có thể được xác minh bằng MetaMask, blockchain như Etherscan hoặc đôi khi trực tiếp trong dApp.
- Kiểm tra kỹ URL của trang web chính thức để tránh bị bắt chước. Một số trang lừa Phishing đánh cắp crypto có thể dựa vào lỗi chính tả tên miền để lừa những người dùng không nghi ngờ.
- Hãy hoài nghi về những lời đề nghị có vẻ quá tốt để có thể trở thành sự thật. Các trang lừa đảo đánh cắp Phishing crypto thu hút nạn nhân bằng tỷ giá crypto thuận lợi hoặc phí gas thấp cho các tương tác đúc NFT.
