Hacker Triều Tiên đang ngồi trên số tiền điện tử chưa được hiển thị trị giá 170 triệu đô la

bởi Thành Tuấn

Tội phạm mạng của Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) tự khẳng định mình là một mối đe dọa dai dẳng tiên tiến đối với ngành công nghiệp tiền điện tử vào năm 2021, Chainalysis báo cáo.

Theo nền tảng dữ liệu dựa trên blockchain hỗ trợ chính phủ và các khu vực tư nhân trong việc phát hiện và ngăn chặn việc sử dụng bất hợp pháp tiền điện tử, các hacker Triều Tiên đã đánh cắp số tiền điện tử trị giá 400 triệu đô la vào năm ngoái, trong khi tổng số tiền chưa được kiểm tra được dự trữ ở mức cao nhất mọi thời đại (ATH).

Nhắm mục tiêu chủ yếu vào các công ty đầu tư và các sàn giao dịch tập trung, hacker Triều Tiên đã thực hiện ít nhất bảy cuộc tấn công vào các nền tảng tiền điện tử – khai thác gần 400 triệu đô la tiền điện tử vào năm 2021.

Trong khi, so với năm 2020, số lượng cuộc tấn công đã tăng từ bốn lên bảy, giá trị trích xuất tăng 40%.

Các cuộc tấn công của Triều Tiên theo thời gian (Chainalysis)

Để bòn rút tiền từ ví “nóng” của các tổ chức này vào các địa chỉ do CHDCND Triều Tiên kiểm soát, tội phạm mạng đã sử dụng các chiêu trò lừa đảo, khai thác mã, phần mềm độc hại và kỹ thuật xã hội tiên tiến.

Sau khi Triều Tiên giành được quyền giám sát số tiền điện tử bị đánh cắp, họ đã sử dụng các chiến thuật rửa tiền cẩn thận để che đậy và rút tiền.

“Các chiến thuật và kỹ thuật phức tạp này đã khiến nhiều nhà nghiên cứu bảo mật xác định đặc điểm của các tác nhân mạng đối với CHDCND Triều Tiên là các mối đe dọa dai dẳng tiên tiến (APT)”, báo cáo lưu ý và thêm điều này đặc biệt đúng với APT 38, hay còn gọi là “Nhóm Lazarus,” do CHDCND Triều Tiên dẫn đầu cơ quan tình báo chính, Tổng cục Trinh sát được Hoa Kỳ và Liên hợp quốc công nhận

Từ năm 2018 trở đi, Lazarus Group đã đánh cắp và rửa một lượng lớn tiền điện tử mỗi năm – thường vượt quá 200 triệu đô la.

“Các vụ hack cá nhân thành công nhất, một vụ trên KuCoin và một vụ khác trên sàn giao dịch tiền điện tử không tên tuổi, mỗi vụ thu về hơn 250 triệu đô la chỉ riêng”, đọc báo cáo, lưu ý rằng, theo hội đồng an ninh Liên Hợp Quốc, doanh thu từ các vụ hack hỗ trợ WMD của Triều Tiên và các chương trình tên lửa đạn đạo.

Vào năm 2021, về giá trị đồng đô la, lần đầu tiên Ethereum chiếm phần lớn số tiền điện tử bị CHDCND Triều Tiên đánh cắp, trong khi Bitcoin chỉ chiếm 20% và token ERC-20 và altcoin chiếm 22% số tiền.

Chia sẻ các quỹ tiền điện tử bị đánh cắp theo loại tiền theo thời gian (Chainalysis)

Theo Chainalysis, ngày càng có nhiều loại tiền điện tử bị đánh cắp dẫn đến sự phức tạp ngày càng tăng của hoạt động rửa tiền mã hóa của CHDCND Triều Tiên.

Các công cụ phần mềm này cho phép hacker thu thập và xáo trộn tiền điện tử từ hàng nghìn địa chỉ và làm phức tạp hơn rất nhiều việc theo dõi các giao dịch.

Chainalysis giải thích các chiến thuật hiện đang được sử dụng dựa trên một trong những cuộc tấn công của một trong những năm trước – dẫn đến 91,35 triệu đô la tiền điện tử đã được rửa.

Vào tháng 8, Liquid.com đã báo cáo rằng một người dùng trái phép đã có được quyền truy cập vào một số ví do sàn giao dịch tiền điện tử quản lý. Trong cuộc tấn công, 67 token ERC-20 khác nhau, cùng với một lượng lớn Ethereum và Bitcoin đã được chuyển từ các ví tiền điện tử này đến các địa chỉ được kiểm soát bởi một bên làm việc thay mặt cho CHDCND Triều Tiên.

Trong một quy trình rửa tiền thường được sử dụng, các token ERC-20 và các altcoin được hoán đổi cho Ethereum tại các DEX.

Hình ảnh hóa quy trình giặt trong Lò phản ứng Chainalysis: Token ERC-20 bị đánh cắp được hoán đổi cho Ethereum tại DEXs (Chainalysis)

Trong bước tiếp theo, Ethereum được trộn và hoán đổi cho Bitcoin trên các DEX và CEX.

Hình ảnh hóa quy trình giặt trong Lò phản ứng Chainalysis: Ethereum hỗn hợp được gửi tại DEX và CEX để hoán đổi lấy Bitcoin (Chainalysis)

Cuối cùng, Bitcoin được trộn và hợp nhất vào các ví mới – sau đó nó được gửi đến các địa chỉ gửi tiền tại các sàn giao dịch tiền điện tử có trụ sở tại Châu Á.

Laundering process visualization: Bitcoin is mixed, consolidated into new wallets, and deposited at crypto-to-fiat exchange services for cash out (Chainalysis)
Hình ảnh hóa quy trình rửa: Bitcoin được trộn, hợp nhất vào các ví mới và được gửi tại các dịch vụ trao đổi tiền điện tử thành tiền pháp định để rút tiền mặt (Chainalysis)

Theo báo cáo, hơn 65% số tiền bị đánh cắp của CHDCND Triều Tiên đã được rửa thông qua máy trộn vào năm 2021, tăng từ 42% vào năm 2020.

Chainalysis mô tả việc CHDCND Triều Tiên sử dụng nhiều máy trộn là một “nỗ lực có tính toán để che giấu nguồn gốc của các loại tiền điện tử kém cỏi của họ trong khi bắt đầu lấn sân sang tiền pháp định”.

Trong khi đó, hacker CHDCND Triều Tiên sử dụng các nền tảng DeFi như DEX để “cung cấp tính thanh khoản cho một loạt các token ERC-20 và các loại tiền thay thế có thể không được chuyển đổi thành tiền mặt”.

Việc hoán đổi các loại tiền điện tử này cho Ethereum hoặc Bitcoin không chỉ khiến chúng trở nên thanh khoản hơn mà còn mở ra nhiều lựa chọn hơn về các bộ trộn và trao đổi.

Theo Chainalysis, các nền tảng DeFi thường không thu thập thông tin khách hàng của bạn (KYC), điều này cho phép hacker sử dụng dịch vụ của họ mà không bị đóng băng tài sản hoặc danh tính của họ bị lộ, theo Chainalysis.

“Chainalysis đã xác định được 170 triệu đô la trong số dư hiện tại – đại diện cho số tiền bị đánh cắp của 49 vụ hack riêng biệt kéo dài từ năm 2017 đến năm 2021 – do Triều Tiên kiểm soát nhưng vẫn chưa được rửa thông qua các dịch vụ,”

báo cáo cho biết.

Báo cáo tiết lộ số dư khổng lồ chưa được hiển thị lên đến sáu năm tuổi – khoảng 35 triệu đô la trong tổng số tài sản nắm giữ của CHDCND Triều Tiên đến từ các cuộc tấn công vào năm 2020 và 2021, trong khi hơn 55 triệu đô la đến từ các cuộc tấn công được thực hiện vào năm 2016.

Balances held by DPRK by year of attacks (Chainalysis)
Số dư do CHDCND Triều Tiên nắm giữ theo năm các cuộc tấn công (Chainalysis)

“Không rõ tại sao các hacker vẫn tiếp tục sử dụng những khoản tiền này, nhưng có thể là họ đang hy vọng lợi ích của cơ quan thực thi pháp luật trong các vụ việc sẽ giảm xuống, vì vậy họ có thể rút tiền mà không bị theo dõi,” đọc báo cáo, nói thêm rằng bất cứ điều gì lý do “khoảng thời gian mà CHDCND Triều Tiên sẵn sàng giữ các khoản tiền này đang sáng tỏ bởi vì nó gợi ý một kế hoạch cẩn thận, không phải là một kế hoạch tuyệt vọng và vội vàng.”

0 bình luận

Có thể bạn quan tâm

Để lại bình luận