1. Tính năng

Từ Sony đến Bybit: Sự trỗi dậy của Lazarus Group như những kẻ hack nổi tiếng trong ngành tiền điện tử

  • 25/02/2025

Lazarus Group, được hậu thuẫn bởi Triều Tiên, đã trở thành thực thể hack đáng sợ nhất trong thế giới tiền điện tử, đánh cắp hơn 6 tỷ đô la kể từ năm 2017.

Lazarus Group không chỉ là một người chơi thỉnh thoảng trong thế giới hack; họ thường là nghi phạm chính trong các vụ cướp tiền điện tử lớn. Nhóm được hậu thuẫn bởi nhà nước Triều Tiên đã rút hàng tỷ đô la từ các sàn giao dịch, lừa đảo các nhà phát triển và vượt qua cả những hệ thống bảo mật tiên tiến nhất trong ngành.

Vào ngày 21 tháng 2, họ đã thực hiện vụ cướp lớn nhất từ trước đến nay, đánh cắp một kỷ lục 1,4 tỷ đô la từ sàn giao dịch tiền điện tử Bybit. Nhà điều tra tiền điện tử ZachXBT đã xác định Lazarus là nghi phạm chính sau khi liên kết vụ tấn công Bybit với vụ hack 85 triệu đô la trên Phemex. Các kết nối khác được thực hiện với các vụ vi phạm tại BingX và Poloniex, bổ sung thêm bằng chứng chỉ vào quân đội mạng của Triều Tiên.

Kể từ năm 2017, Lazarus Group đã đánh cắp ước tính 6 tỷ đô la từ ngành công nghiệp tiền điện tử, theo công ty bảo mật Elliptic. Một nghiên cứu của Hội đồng Bảo an Liên Hợp Quốc báo cáo rằng những khoản tiền bị đánh cắp này được cho là được sử dụng để tài trợ cho chương trình vũ khí của Triều Tiên.

Là một trong những tổ chức tội phạm mạng năng suất nhất trong lịch sử, các nghi phạm và phương pháp của nhóm tiết lộ một hoạt động xuyên biên giới cực kỳ tinh vi phục vụ cho chế độ. Ai đứng sau Lazarus, và họ đã thực hiện vụ hack Bybit như thế nào? Những chiến thuật nào khác mà họ sử dụng tiếp tục gây ra mối đe dọa?


Bybit là vụ cướp tiền điện tử lớn nhất từ trước đến nay. Nguồn: Elliptic

Những Bộ Não Đằng Sau Lazarus Group

Bộ Tài chính Hoa Kỳ tuyên bố rằng Lazarus được điều khiển bởi Cục Tình báo Tổng hợp Triều Tiên (RGB), cơ quan tình báo chính của chế độ. Ba hacker Triều Tiên nghi ngờ đã được Cục Điều tra Liên bang (FBI) công khai nêu tên là thành viên của Lazarus, còn được biết đến là APT38.

Vào tháng 9 năm 2018, FBI đã buộc tội Park Jin Hyok, một công dân Triều Tiên và là thành viên nghi ngờ của Lazarus, với một số vụ tấn công mạng nổi tiếng nhất trong lịch sử. Park, người được cho là đã làm việc cho Chosun Expo Joint Venture, một công ty bình phong của Triều Tiên, được liên kết với vụ hack Sony Pictures năm 2014 và vụ cướp Ngân hàng Bangladesh năm 2016, nơi 81 triệu đô la đã bị đánh cắp.

Park cũng đã bị liên kết với vụ tấn công ransomware WannaCry 2.0 năm 2017, đã làm gián đoạn các bệnh viện, bao gồm cả Dịch vụ Y tế Quốc gia của Vương quốc Anh. Các nhà điều tra đã truy tìm Park và các đồng phạm của anh ta thông qua mã phần mềm độc hại chung, các tài khoản lưu trữ thông tin đăng nhập bị đánh cắp và các dịch vụ proxy che giấu địa chỉ IP của Triều Tiên và Trung Quốc.

Ba thành viên nghi ngờ của Lazarus được các cơ quan Hoa Kỳ nêu tên. Nguồn: Tòa án Quận Trung tâm California

Vào tháng 2 năm 2021, Bộ Tư pháp đã thông báo rằng họ đã thêm Jon Chang Hyok và Kim Il vào danh sách các tội phạm mạng bị truy tố vì vai trò của họ trong một số vụ xâm nhập mạng gây tàn phá nhất thế giới. Cả hai đều bị cáo buộc làm việc cho Lazarus, tổ chức các tội phạm tài chính thông qua mạng, đánh cắp tiền điện tử và rửa tiền cho chế độ.

Jon chuyên phát triển và lan truyền các ứng dụng tiền điện tử độc hại để xâm nhập vào các sàn giao dịch và tổ chức tài chính, cho phép đánh cắp quy mô lớn. Kim tham gia vào việc phân phối phần mềm độc hại, phối hợp các vụ cướp liên quan đến tiền điện tử và tổ chức ICO giả mạo Marine Chain.

Thực Hiện Vụ Cướp Lớn Nhất Của Lazarus Group

Chỉ vài tuần trước vụ hack Bybit, lãnh đạo Triều Tiên Kim Jong Un đã kiểm tra một cơ sở sản xuất vật liệu hạt nhân, kêu gọi mở rộng kho vũ khí hạt nhân của đất nước vượt qua các kế hoạch sản xuất hiện tại, theo truyền thông nhà nước.

Vào ngày 15 tháng 2, Hoa Kỳ, Hàn Quốc và Nhật Bản đã đưa ra một tuyên bố chung tái khẳng định cam kết của họ đối với việc phi hạt nhân hóa Triều Tiên. Pyongyang nhanh chóng bác bỏ động thái này là "vô lý" vào ngày 18 tháng 2, một lần nữa cam kết tăng cường lực lượng hạt nhân của mình.

Ba ngày sau, Lazarus lại tấn công.

Trong các vòng tròn an ninh, dấu vết của Lazarus thường được nhận ra gần như ngay lập tức, ngay cả trước khi các cuộc điều tra chính thức xác nhận sự tham gia của họ.

"Tôi có thể tự tin nói, riêng tư, chỉ trong vài phút sau khi ETH di chuyển ra khỏi ví của Bybit, rằng điều này liên quan đến DPRK [Cộng hòa Dân chủ Nhân dân Triều Tiên] chỉ vì họ có dấu vết độc đáo và TTP [chiến thuật, kỹ thuật và quy trình] trên chuỗi," Fantasy, người dẫn đầu điều tra tại công ty bảo hiểm tiền điện tử Fairside Network, đã phát biểu.

"Chia nhỏ các tài sản ERC-20 qua nhiều ví, ngay lập tức bán các token theo cách không tối ưu, gây ra phí lớn [hoặc] trượt giá, và sau đó gửi ETH với số lượng lớn, tròn đến các ví mới."

Trong vụ tấn công Bybit, các hacker đã tổ chức một cuộc tấn công lừa đảo phức tạp để vi phạm bảo mật của Bybit, lừa sàn giao dịch cho phép chuyển 401.000 Ether (ETH) (1,4 tỷ đô la) đến các ví dưới sự kiểm soát của họ. Ngụy trang hoạt động của họ đằng sau một phiên bản giả của hệ thống quản lý ví của Bybit, các kẻ tấn công đã có quyền truy cập trực tiếp vào tài sản của sàn giao dịch, theo công ty pháp y blockchain Chainalysis.

Liên quan: Trong hình ảnh: Vụ hack kỷ lục 1,4 tỷ đô la của Bybit

Sau khi tiền bị đánh cắp, quá trình rửa tiền bắt đầu khi các hacker phân tán tài sản qua các ví trung gian. Các nhà điều tra tại Chainalysis báo cáo rằng một phần của số tiền bị đánh cắp đã được chuyển đổi thành Bitcoin (BTC) và Dai (DAI), sử dụng các sàn giao dịch phi tập trung, cầu nối chuỗi chéo và các dịch vụ hoán đổi không yêu cầu xác minh danh tính như eXch, một nền tảng đã từ chối đóng băng các khoản tiền bất hợp pháp liên quan đến vụ khai thác Bybit bất chấp sự can thiệp của toàn ngành. EXch đã phủ nhận việc rửa tiền cho Triều Tiên.


eXch đã có tiếng tăm về việc phục vụ các hacker và kẻ cướp ngay cả trước khi vụ trộm Bybit xảy ra. Nguồn: Fantasy

Một phần lớn tài sản bị đánh cắp vẫn được để lại qua nhiều địa chỉ, một chiến lược có chủ ý thường được các hacker liên kết với Triều Tiên sử dụng để vượt qua sự giám sát gia tăng.

Ngoài ra, các hacker Triều Tiên thường chuyển đổi số tiền bị đánh cắp của họ thành Bitcoin, theo TRM Labs. Mô hình đầu ra giao dịch chưa chi tiêu (UTXO) của Bitcoin càng làm phức tạp việc theo dõi, khiến phân tích pháp y khó khăn hơn nhiều so với hệ thống dựa trên tài khoản của Ethereum. Mạng lưới này cũng là nơi có các dịch vụ trộn mà Lazarus thường xuyên sử dụng.

Chiến Thuật Kỹ Thuật Xã Hội Của Lazarus Group

Các hacker Triều Tiên đã gia tăng cuộc tấn công vào ngành công nghiệp tiền điện tử, cướp đi 1,34 tỷ đô la qua 47 vụ tấn công trong năm 2024 — hơn gấp đôi số tiền 660,5 triệu đô la bị đánh cắp trong năm 2023, theo Chainalysis.


Chỉ riêng vụ hack Bybit gần đây đã vượt qua tổng số tiền cướp tiền điện tử của Triều Tiên trong năm 2024. Nguồn: Chainalysis


Công ty bảo mật có trụ sở tại New York cho biết thêm rằng việc đánh cắp thông qua việc xâm phạm khóa riêng vẫn là một trong những mối đe dọa lớn nhất đối với hệ sinh thái tiền điện tử, chiếm 43,8% tất cả các vụ hack tiền điện tử trong năm 2024. Đây là phương pháp được sử dụng trong một số vụ vi phạm lớn nhất liên quan đến Lazarus Group của Triều Tiên, chẳng hạn như vụ tấn công DMM Bitcoin trị giá 305 triệu đô la và vụ hack Ronin trị giá 600 triệu đô la.

Mặc dù những vụ cướp nổi bật này thu hút sự chú ý của truyền thông, các hacker Triều Tiên cũng đã làm chủ được chiến lược dài hạn — một chiến lược cung cấp dòng tiền ổn định thay vì dựa vào các khoản lợi nhuận một lần.

"Họ nhắm vào mọi người, mọi thứ, với bất kỳ số tiền nào. Lazarus, cụ thể, tập trung vào những vụ hack lớn, phức tạp như Bybit, Phemex và Alphapo, nhưng họ có các nhóm nhỏ hơn thực hiện công việc giá trị thấp và thủ công hơn như các cuộc phỏng vấn việc làm giả mạo," Fantasy cho biết.

Microsoft Threat Intelligence đã xác định một nhóm đe dọa Triều Tiên mà họ gọi là "Sapphire Sleet" là một người chơi chính trong việc đánh cắp tiền điện tử và xâm nhập doanh nghiệp. Tên "Sapphire Sleet" theo hệ thống phân loại theo chủ đề thời tiết của công ty công nghệ, với "sleet" đánh dấu mối liên hệ với Triều Tiên. Ngoài Microsoft, nhóm này còn được biết đến nhiều hơn với tên Bluenoroff, một nhóm con của Lazarus.

Ngụy trang dưới dạng các nhà đầu tư mạo hiểm và nhà tuyển dụng, họ dụ dỗ nạn nhân vào các cuộc phỏng vấn việc làm giả và các vụ lừa đảo đầu tư, triển khai phần mềm độc hại để đánh cắp ví tiền điện tử và dữ liệu tài chính, thu về hơn 10 triệu đô la trong sáu tháng.

Liên quan: Các giám đốc an ninh đánh giá về quy mô 'kinh hoàng' của vụ hack kỷ lục Bybit

Triều Tiên cũng đã triển khai hàng ngàn công nhân IT trên khắp Nga, Trung Quốc và các nơi khác, sử dụng hồ sơ được tạo bằng AI và danh tính bị đánh cắp để có được các công việc công nghệ lương cao. Khi đã vào bên trong, họ đánh cắp tài sản trí tuệ, tống tiền người sử dụng lao động và chuyển tiền kiếm được về cho chế độ. Một cơ sở dữ liệu Triều Tiên bị rò rỉ do Microsoft phát hiện đã tiết lộ các hồ sơ giả mạo, các tài khoản gian lận và các hồ sơ thanh toán, tiết lộ một hoạt động tinh vi sử dụng hình ảnh được tăng cường bằng AI, phần mềm thay đổi giọng nói và trộm cắp danh tính để xâm nhập vào các doanh nghiệp toàn cầu.

Vào tháng 8 năm 2024, ZachXBT đã phát hiện một mạng lưới gồm 21 nhà phát triển Triều Tiên kiếm được 500.000 đô la mỗi tháng bằng cách nhúng mình vào các công ty khởi nghiệp tiền điện tử.

Vào tháng 12 năm 2024, một tòa án liên bang tại St. Louis đã công bố các cáo trạng chống lại 14 công dân Triều Tiên, buộc tội họ vi phạm lệnh trừng phạt, gian lận dây điện, rửa tiền và trộm cắp danh tính.


Bộ Ngoại giao Hoa Kỳ đã đặt phần thưởng 5 triệu đô la cho thông tin về các công ty và cá nhân được nêu tên. Nguồn: Bộ Ngoại giao Hoa Kỳ


Những cá nhân này đã làm việc cho Yanbian Silverstar và Volasys Silverstar, các công ty do Triều Tiên kiểm soát hoạt động tại Trung Quốc và Nga, để lừa các công ty thuê họ làm việc từ xa.

Trong sáu năm, những người này đã kiếm được ít nhất 88 triệu đô la, với một số người được yêu cầu tạo ra 10.000 đô la mỗi tháng cho chế độ.

Đến nay, chiến lược chiến tranh mạng của Triều Tiên vẫn là một trong những hoạt động tinh vi và sinh lời nhất trên thế giới, được cho là chuyển hàng tỷ đô la vào chương trình vũ khí của chế độ. Mặc dù sự giám sát ngày càng tăng từ các cơ quan thực thi pháp luật, các cơ quan tình báo và các nhà điều tra blockchain, Lazarus Group và các đơn vị của nó tiếp tục thích nghi, tinh chỉnh các chiến thuật của họ để tránh bị phát hiện và duy trì các dòng thu nhập bất hợp pháp của họ.

Với các vụ cướp tiền điện tử kỷ lục, sự xâm nhập sâu vào các công ty công nghệ toàn cầu và một mạng lưới ngày càng mở rộng của các nhân viên IT, các hoạt động mạng của Triều Tiên đã trở thành một mối đe dọa an ninh quốc gia lâu dài. Nỗ lực đa cơ quan của chính phủ Hoa Kỳ, bao gồm các cáo trạng liên bang và hàng triệu đô la tiền thưởng, báo hiệu nỗ lực gia tăng để phá vỡ đường ống tài chính của Pyongyang.

Nhưng như lịch sử đã chỉ ra, Lazarus không ngừng nghỉ; các mối đe dọa từ quân đội mạng của Triều Tiên còn xa mới kết thúc.

Tạp chí: Phương pháp khai thác yêu thích của Lazarus Group được tiết lộ — Phân tích các vụ hack tiền điện tử

Theo Cointelegraph

Tin khác

Hyperliquid thay đổi cuộc chơi với Airdrop: Một kỷ nguyên mới cho các lần ra mắt tiền điện tử

  • 08/01/2025

Pierre Poilievre: Nhà vô địch tiềm năng về tiền điện tử của Canada hay rủi ro chính trị?

  • 10/01/2025

Rút lui chiến lược hay kỳ thủ cờ vua? Sự thay đổi chính sách Bitcoin của El Salvador trong thỏa thuận với IMF

  • 31/01/2025

Ai là Andean Medjedovic, kẻ bị cáo buộc hack KyberSwap trị giá 48 triệu đô la?

  • 05/02/2025

Lập trường của Trump về CBDC và sự gia tăng của stablecoin tại Mỹ

  • 21/01/2025