Gần đây, theo một báo cáo do công ty an ninh mạng Recorded Future công bố, Lazarus Group, một nhóm hacker có liên hệ với Triều Tiên, đã đánh cắp 3 tỷ USD tiền điện tử trong sáu năm qua.

Báo cáo tuyên bố rằng chỉ riêng trong năm 2022, Tập đoàn Lazarus đã cướp được 1,7 tỷ USD tiền điện tử, có khả năng tài trợ cho các dự án của Triều Tiên.

Chainaanalysis, một công ty phân tích dữ liệu blockchain, cho biết 1,1 tỷ USD đã bị đánh cắp từ nền tảng DeFi. Bộ An ninh Nội địa Hoa Kỳ đã công bố một báo cáo vào tháng 9 như một phần của Chương trình Trao đổi Phân tích (AEP), trong đó cũng nêu bật việc khai thác các giao thức DeFi của Lazarus.

Chuyên môn của Tập đoàn Lazarus là trộm cắp tài chính. Năm 2016, họ đột nhập vào Ngân hàng Trung ương Bangladesh và đánh cắp 81 triệu USD. Năm 2018, họ đã tấn công sàn giao dịch tiền điện tử Coincheck của Nhật Bản, đánh cắp 530 triệu USD và Ngân hàng Negara Malaysia, đánh cắp 390 triệu USD.

Những điểm nổi bật của Báo cáo tổng hợp giá trị chuỗi cacbon để bạn tham khảo:

Kể từ năm 2017, Triều Tiên đã coi ngành công nghiệp tiền điện tử là mục tiêu của các cuộc tấn công mạng, đánh cắp tổng cộng hơn 3 tỷ USD giá trị tiền điện tử. Trước đó, Triều Tiên đã tấn công mạng SWIFT và đánh cắp tiền từ các tổ chức tài chính. Loại hoạt động này đã thu hút sự chú ý của các cơ quan quốc tế. Do đó, các tổ chức tài chính đã đầu tư vào việc cải thiện khả năng phòng vệ an ninh mạng của chính họ.

Khi tiền điện tử bắt đầu trở nên phổ biến và trở thành xu hướng chủ đạo vào năm 2017, tin tặc Triều Tiên đã chuyển mục tiêu trộm cắp từ tài chính truyền thống sang loại hình tài chính kỹ thuật số mới này, trước tiên nhắm vào thị trường tiền điện tử Hàn Quốc và sau đó mở rộng ảnh hưởng của chúng trên toàn cầu.

Chỉ riêng trong năm 2022, tin tặc Triều Tiên bị cáo buộc đánh cắp số tiền điện tử trị giá khoảng 1,7 tỷ USD, con số tương đương khoảng 5% quy mô nền kinh tế nội địa của Triều Tiên hoặc 45% ngân sách quân sự của nước này. Con số này cũng gần gấp 10 lần giá trị xuất khẩu của Triều Tiên vào năm 2021. Theo dữ liệu từ trang web OEC, xuất khẩu của Triều Tiên năm đó là 182 triệu USD.

Cách mà tin tặc Triều Tiên hoạt động trong ngành tiền điện tử để đánh cắp tiền điện tử thường tương tự như cách tội phạm mạng truyền thống hoạt động bằng cách sử dụng máy trộn tiền điện tử, giao dịch chuỗi chéo và OTC fiat. Tuy nhiên, với sự hỗ trợ của nhà nước, hành vi trộm cắp có thể mở rộng quy mô hoạt động. Loại hoạt động này là không thể đối với các băng nhóm tội phạm mạng truyền thống.

Theo theo dõi dữ liệu, khoảng 44% số tiền điện tử bị đánh cắp vào năm 2022 có liên quan đến vụ hack của Triều Tiên.

Mục tiêu của tin tặc Triều Tiên không chỉ giới hạn ở các sàn giao dịch, người dùng cá nhân, công ty đầu tư mạo hiểm cũng như các công nghệ và giao thức khác đều đã bị tin tặc Triều Tiên tấn công. Tất cả các tổ chức hoạt động trong ngành này và các cá nhân làm việc ở đó đều có thể là mục tiêu tiềm năng của tin tặc Triều Tiên, cho phép chính phủ Triều Tiên tiếp tục hoạt động và gây quỹ.

Bất kỳ người dùng, nhà điều hành sàn giao dịch hoặc người sáng lập công ty khởi nghiệp nào làm việc trong ngành tiền điện tử đều phải nhận thức được khả năng bị tin tặc nhắm đến.

Các tổ chức tài chính truyền thống cũng nên hết sức chú ý đến hoạt động của các nhóm hacker Triều Tiên. Sau khi tiền điện tử bị đánh cắp và chuyển đổi thành tiền pháp định, tin tặc Triều Tiên sẽ chuyển tiền giữa các tài khoản khác nhau để che giấu nguồn gốc. Thông thường, danh tính bị đánh cắp và ảnh bị thay đổi được sử dụng để vượt qua quá trình xác minh AML/KYC. Thông tin nhận dạng cá nhân (PII) của bất kỳ ai trở thành nạn nhân của một vụ xâm nhập có liên quan đến nhóm hack của Triều Tiên có thể được sử dụng để đăng ký tài khoản nhằm hoàn tất quy trình rửa tiền nhằm đánh cắp tiền điện tử. Do đó, các công ty hoạt động bên ngoài ngành tiền điện tử và tài chính truyền thống cũng nên cảnh giác với hoạt động của nhóm hacker Triều Tiên và liệu dữ liệu hoặc cơ sở hạ tầng của họ có được sử dụng làm bàn đạp cho các cuộc xâm nhập tiếp theo hay không.

Hầu hết các cuộc xâm nhập của các nhóm hacker Triều Tiên đều bắt đầu bằng các chiến dịch lừa đảo và kỹ thuật xã hội. Một số tổ chức nên đào tạo nhân viên để giám sát hoạt động đó và triển khai xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không cần mật khẩu tuân thủ FIDO2.

Hầu hết các cuộc xâm nhập của các nhóm hacker Triều Tiên đều bắt đầu bằng các chiến dịch lừa đảo và kỹ thuật xã hội. Một số tổ chức nên đào tạo nhân viên để giám sát hoạt động đó và triển khai xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không cần mật khẩu tuân thủ FIDO2.

Triều Tiên rõ ràng coi việc tiếp tục trộm cắp tiền điện tử là nguồn thu chính để tài trợ cho các chương trình quân sự và vũ khí của mình. Mặc dù không rõ bao nhiêu tiền điện tử bị đánh cắp đã được sử dụng trực tiếp để tài trợ cho các vụ phóng tên lửa đạn đạo, nhưng rõ ràng là số lượng tiền điện tử bị đánh cắp cũng như số lần phóng tên lửa đã tăng lên đáng kể trong những năm gần đây. Nếu không có các quy định chặt chẽ hơn, yêu cầu về an ninh mạng và đầu tư vào an ninh mạng của các công ty tiền điện tử, Triều Tiên gần như chắc chắn sẽ tiếp tục dựa vào ngành công nghiệp tiền điện tử như một nguồn thu bổ sung để hỗ trợ nhà nước.

Vào ngày 12 tháng 7 năm 2023, công ty phần mềm doanh nghiệp JumpCloud của Mỹ thông báo rằng một hacker được Triều Tiên hậu thuẫn đã xâm nhập vào mạng của họ. Các nhà nghiên cứu của Mandiant sau đó đã đưa ra một báo cáo chỉ ra rằng nhóm chịu trách nhiệm về vụ tấn công là UNC4899, có khả năng tương ứng với “Trader Traitor”, một nhóm hacker Triều Tiên tập trung vào tiền điện tử. Kể từ ngày 22 tháng 8 năm 2023, FBI đã đưa ra thông báo cho biết các nhóm hacker Triều Tiên đã liên quan đến Atomic Wallet, Alphapo và CoinsPaid trong các cuộc tấn công hack, đánh cắp tổng cộng 197 triệu USD tiền điện tử. Việc đánh cắp các loại tiền điện tử này cho phép chính phủ Triều Tiên tiếp tục hoạt động dưới các lệnh trừng phạt quốc tế nghiêm ngặt và tài trợ tới 50% chi phí cho chương trình tên lửa đạn đạo của nước này.

Năm 2017, tin tặc Triều Tiên đã xâm chiếm các sàn giao dịch Bithumb, Youbit và Yapizon của Hàn Quốc, đánh cắp tiền điện tử trị giá khoảng 82,7 triệu USD vào thời điểm đó. Cũng có báo cáo cho rằng người dùng tiền điện tử cũng trở thành mục tiêu sau khi thông tin nhận dạng cá nhân khách hàng của người dùng Bithumb bị rò rỉ vào tháng 7 năm 2017.

Ngoài việc đánh cắp tiền điện tử, tin tặc Triều Tiên còn học cách khai thác tiền điện tử. Vào tháng 4 năm 2017, các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một phần mềm khai thác Monero được cài đặt trong một cuộc xâm nhập APT38.

Vào tháng 1 năm 2018, các nhà nghiên cứu từ Viện An ninh Tài chính của Hàn Quốc đã thông báo rằng tổ chức Andariel của Triều Tiên đã xâm chiếm máy chủ của một công ty không được tiết lộ vào mùa hè năm 2017 và sử dụng nó để khai thác khoảng 70 đồng Monero trị giá khoảng 25.000 USD vào thời điểm đó.

Năm 2020, các nhà nghiên cứu bảo mật tiếp tục báo cáo các cuộc tấn công mạng mới của tin tặc Triều Tiên nhắm vào ngành công nghiệp tiền điện tử. Nhóm hack APT38 của Triều Tiên nhắm mục tiêu vào các sàn giao dịch tiền điện tử ở Hoa Kỳ, Châu Âu, Nhật Bản, Nga và Israel, sử dụng Linkedin làm phương thức liên hệ ban đầu với các mục tiêu.

Năm 2021 là năm phát triển nhất của ngành công nghiệp tiền điện tử ở Triều Tiên, với việc tin tặc Triều Tiên đột nhập vào ít nhất bảy tổ chức tiền điện tử và đánh cắp số tiền điện tử trị giá 400 triệu USD. Ngoài ra, tin tặc Triều Tiên đã bắt đầu nhắm mục tiêu vào các loại tiền thay thế, bao gồm mã thông báo ERC-20 và NFT.

Vào tháng 1 năm 2022, các nhà nghiên cứu của Chainalysis đã xác nhận rằng tiền điện tử trị giá 170 triệu đô la vẫn cần được mua lại kể từ năm 2017.

Các cuộc tấn công đáng chú ý được cho là của APT38 vào năm 2022 bao gồm cầu nối chuỗi Ronin Network (lỗ 600 triệu USD), cầu Harmony (lỗ 100 triệu USD), cầu Qubit Finance (lỗ 80 triệu USD) và cầu Nomad (mất 100 triệu USD). 190 triệu USD). Bốn cuộc tấn công này đặc biệt nhắm vào các cầu nối chuỗi chéo của các nền tảng này. Cầu nối chuỗi chéo kết nối 2 chuỗi khối, cho phép người dùng gửi một loại tiền điện tử từ chuỗi khối này sang chuỗi khác có chứa một loại tiền điện tử khác.

Vào tháng 10 năm 2022, Cơ quan Cảnh sát Quốc gia Nhật Bản thông báo rằng Tập đoàn Lazarus đã thực hiện các cuộc tấn công nhằm vào các công ty hoạt động trong ngành công nghiệp tiền điện tử ở Nhật Bản. Mặc dù không có thông tin chi tiết cụ thể nào được cung cấp nhưng tuyên bố lưu ý rằng một số công ty đã bị xâm phạm thành công và tiền điện tử bị đánh cắp.

Từ tháng 1 đến tháng 8 năm 2023, APT38 bị cáo buộc đã đánh cắp 200 triệu USD từ Atomic Wallet (2 cuộc tấn công với tổng thiệt hại 100 triệu USD), AlphaPo (2 cuộc tấn công với tổng thiệt hại 60 triệu USD) và CoinsPaid (tổn thất 37 triệu USD). Cũng trong tháng 1, FBI Hoa Kỳ xác nhận rằng APT38 đã mất 100 triệu USD khi đánh cắp tiền ảo Horizon Bridge của Harmony.

Trong cuộc tấn công CoinsPaid vào tháng 7 năm 2023, các nhà điều hành APT38 có thể đã đóng giả là nhà tuyển dụng và gửi email tuyển dụng cũng như tin nhắn LinkedIn nhắm mục tiêu cụ thể đến nhân viên của CoinsPaid. CoinsPaid cho biết APT38 đã mất sáu tháng để cố gắng truy cập vào mạng của mình.

Biện pháp giảm thiểu

Dưới đây là một số mẹo để bảo vệ chống lừa đảo trên mạng xã hội: