Hoa Kỳ đã khởi xướng các hành động pháp lý để tịch thu hơn 2,67 triệu đô la tiền điện tử bị tin tặc Triều Tiên đánh cắp. Vào ngày 4 tháng 10, chính phủ đã đệ trình hai đơn khiếu nại nhắm vào Lazarus Group, một tổ chức tin tặc khét tiếng có liên quan đến chế độ Triều Tiên.
Số tiền bị đánh cắp có nguồn gốc từ hai vụ trộm mạng lớn: 1,7 triệu đô la USDT bị lấy cắp trong vụ hack Deribit năm 2022 và khoảng 970.000 đô la Bitcoin (BTC.b) được Avalanche bắc cầu lấy cắp từ Stake.com vào năm 2023.
Hoạt động tội phạm của nhóm Lazarus
Nhóm Lazarus đã hoạt động trong lĩnh vực tội phạm mạng ít nhất là từ năm 2009. Nhóm này đã trở nên khét tiếng qua các vụ việc gây chú ý như vụ vi phạm của Sony Pictures năm 2014 và vụ trộm Ngân hàng Bangladesh năm 2016. Gần đây hơn, các hoạt động của nhóm đã chuyển sang nhắm mục tiêu vào các nền tảng tiền điện tử. Các nhà phân tích ước tính rằng kể từ năm 2017, nhóm này đã đánh cắp từ 3 tỷ đến 4,1 tỷ đô la từ nhiều công ty tiền điện tử khác nhau.
Vụ hack Deribit là ví dụ điển hình cho chiến thuật của Lazarus Group. Những kẻ tấn công đã khai thác lỗ hổng trong ví nóng, đánh cắp 28 triệu đô la tiền điện tử. Để che giấu hoạt động của mình, chúng đã sử dụng Tornado Cash, một công cụ được thiết kế để tăng cường tính ẩn danh bằng cách trộn lẫn các giao dịch. Sau vụ trộm ban đầu, chúng tiếp tục làm phức tạp thêm các nỗ lực theo dõi bằng cách chuyển tài sản bị đánh cắp qua nhiều địa chỉ Ethereum.
Bất chấp các phương pháp tinh vi của họ, các cơ quan thực thi pháp luật vẫn cảnh giác. Chính phủ Hoa Kỳ hiện đang tập trung vào việc thu hồi ít nhất 1,7 triệu đô la USDT có liên quan đến hoạt động bất hợp pháp này.
Chiến thuật và kỹ thuật được Lazarus sử dụng
Nhóm Lazarus, còn được gọi là APT38 hoặc Bluenoroff, nổi tiếng với các chiến lược tấn công mạng tiên tiến và trộm cắp tiền điện tử. Hoạt động của chúng bao gồm các công cụ được thiết kế riêng cho từng mục tiêu, làm nổi bật chuyên môn của chúng trong lĩnh vực này. Các báo cáo từ các công ty phân tích blockchain như Chainalysis và TRM Labs minh họa thiệt hại to lớn mà nhóm này đã gây ra trong nhiều năm.
Các cuộc tấn công gần đây nhấn mạnh tính hiệu quả của chúng. Vào tháng 8 năm 2023, nhóm này đã xâm nhập thành công ví triển khai của Steadefi, đánh cắp 1,2 triệu đô la tiền điện tử. Sự cố này minh họa cho các chiến thuật kỹ thuật xã hội, khi một nhân viên của Steadefi vô tình tải xuống một tệp độc hại từ một tác nhân đe dọa mạo danh một người quản lý quỹ trên Telegram. Một sự cố khác liên quan đến nền tảng Coinshift, nơi đã mất hơn 900.000 đô la Ethereum. Trong những trường hợp này, giống như Deribit, tài sản bị đánh cắp đã được rửa thông qua Tornado Cash.
Tốc độ của các hoạt động này cũng đáng chú ý. Vào ngày 23 tháng 8, những kẻ tấn công đã thực hiện cả vụ hack Steadefi và Coinshift và nhanh chóng gửi tiền vào nhóm 100 ETH của Tornado Cash chỉ trong vài phút.
Những thách thức trong việc theo dõi và nỗ lực phục hồi
Bất chấp những nỗ lực liên tục nhằm đóng băng các tài sản bị đánh cắp, Lazarus Group vẫn tiếp tục thích nghi và trốn tránh việc bắt giữ. Vào tháng 11 năm 2023, Tether đã đưa vào danh sách đen 374.000 đô la USDT có liên quan đến nhóm này. Đồng thời, một số sàn giao dịch tập trung đã đóng băng một lượng tiền điện tử không được tiết lộ có liên quan đến các hoạt động của họ. Đến quý 4 năm 2023, ba trong số bốn đơn vị phát hành stablecoin lớn đã đưa vào danh sách đen tổng cộng 3,4 triệu đô la có liên quan đến nhóm này.
Nhóm Lazarus sử dụng các sàn giao dịch ngang hàng như Paxful và Noones để chuyển đổi tiền điện tử bị đánh cắp thành tiền mặt. Những chiến thuật này đã khiến chúng trở thành mối đe dọa dai dẳng trong ngành công nghiệp tiền điện tử bất chấp những nỗ lực chung của cơ quan thực thi pháp luật và cộng đồng tiền điện tử nhằm ngăn chặn các hoạt động của chúng.
Bài đăng Hoa Kỳ thực hiện các bước pháp lý để tịch thu tiền điện tử bị đánh cắp từ tin tặc Triều Tiên lần đầu tiên xuất hiện trên Coinfea.
