Nhóm hacker Lazarus của Triều Tiên dường như đã tăng cường hoạt động gần đây, với 4 cuộc tấn công được xác nhận nhắm vào ngành công nghiệp mã hóa kể từ ngày 3 tháng 6. Gần đây, họ bị nghi ngờ đã thực hiện cuộc tấn công thứ 5. Giám đốc An ninh Thông tin SlowMist 23pds đã tweet rằng vụ tấn công trị giá 55 triệu USD vào sàn giao dịch mã hóa CoinEx là do tin tặc được nhà nước Triều Tiên bảo trợ gây ra.
Điều đáng chú ý là các hacker do Triều Tiên tài trợ đã đánh cắp khoảng 1,2 tỷ USD tiền điện tử từ khắp nơi trên thế giới kể từ năm 2017, theo một báo cáo trước đó của Associated Press trích dẫn cơ quan gián điệp chính của Hàn Quốc, Cơ quan Tình báo Quốc gia (NIS). NIS tin rằng Triều Tiên là một trong những quốc gia có động cơ đánh cắp tiền điện tử mạnh nhất trên thế giới và nước này đã chuyển trọng tâm sang tội phạm mạng sau khi Liên hợp quốc thắt chặt các lệnh trừng phạt kinh tế vào năm 2017 để đáp trả các vụ thử hạt nhân và tên lửa của nước này.
Ngoài ra, trong 104 ngày qua, nhóm hacker Triều Tiên Lazarus đã được xác nhận đã đánh cắp gần 2,4 triệu USD từ Atomic Wallet (100 triệu USD), CoinsPaid (37,3 triệu USD), Alphapo (60 triệu USD) và Stake.com (41 triệu USD) . tỷ tài sản tiền điện tử.
Như được hiển thị trong hình trên, phân tích Elliptic chỉ ra rằng một số tiền bị đánh cắp từ CoinEx đã được gửi đến địa chỉ được tổ chức Lazarus sử dụng để lưu trữ số tiền bị đánh cắp từ Stake.com, mặc dù trên một blockchain khác. Sau đó, số tiền này được liên kết chéo với Ethereum thông qua một cầu nối chuỗi chéo được Lazarus sử dụng trước đây và sau đó được gửi trở lại địa chỉ do tin tặc CoinEx kiểm soát.
Elliptic đã quan sát thấy kiểu trộn tiền này từ các hacker khác nhau trong vụ Lazarus, gần đây nhất là khi tiền điện tử bị đánh cắp từ Stake.com được trộn lẫn với số tiền bị đánh cắp từ ví Atomic. Những trường hợp tiền từ các tin tặc khác nhau được kết hợp lại được hiển thị bằng màu cam trong hình ảnh bên dưới.
###01. Lazarus tiến hành 5 cuộc tấn công trong 104 ngày
Vào năm 2022, một số vụ tấn công hack nổi tiếng được cho là do Lazarus thực hiện, bao gồm các cuộc tấn công vào Horizon Bridge của Harmony và Ronin Bridge của Axie Infinity, cả hai đều xảy ra vào nửa đầu năm ngoái. Từ đó cho đến tháng 6 năm nay, không có vụ trộm tiền điện tử lớn nào được công khai quy cho Lazarus. Do đó, nhiều cuộc tấn công hack khác nhau trong 104 ngày qua cho thấy hoạt động của nhóm hacker Triều Tiên này đang gia tăng.
Vào ngày 3 tháng 6 năm 2023, người dùng ví tiền điện tử phi tập trung Atomic Wallet đã mất hơn 100 triệu USD. Elliptic chính thức đổ lỗi cho Lazarus về vụ hack vào ngày 6 tháng 6 năm 2023, sau khi xác định được nhiều yếu tố cho thấy một nhóm hack của Triều Tiên phải chịu trách nhiệm, điều này sau đó đã được FBI xác nhận.
Vào ngày 22 tháng 7 năm 2023, Lazarus đã có được quyền truy cập vào ví nóng thuộc nền tảng thanh toán tiền điện tử CoinsPaid thông qua một cuộc tấn công kỹ thuật xã hội. Quyền truy cập này cho phép kẻ tấn công tạo yêu cầu ủy quyền để rút khoảng 37,3 triệu đô la tài sản tiền điện tử từ ví nóng của nền tảng. Vào ngày 26 tháng 7, CoinsPaid đã công bố một báo cáo cho rằng Lazarus chịu trách nhiệm về vụ tấn công, điều này cũng đã được Cục Điều tra Liên bang (FBI) xác nhận.
Cùng ngày, ngày 22 tháng 7, Lazarus đã tiến hành một cuộc tấn công cấp cao khác, lần này nhắm vào nhà cung cấp thanh toán tiền điện tử tập trung Alphapo, đánh cắp 60 triệu đô la tài sản tiền điện tử. Kẻ tấn công có thể đã giành được quyền truy cập thông qua khóa riêng bị rò rỉ trước đó. FBI sau đó xác nhận rằng Lazarus chịu trách nhiệm về vụ tấn công.
Vào ngày 4 tháng 9 năm 2023, nền tảng cờ bạc tiền điện tử trực tuyến Stake.com đã bị tấn công và các loại tiền ảo trị giá tổng cộng khoảng 41 triệu đô la Mỹ đã bị đánh cắp, có thể do khóa riêng bị đánh cắp. FBI hôm 6/9 công bố tổ chức Lazarus là kẻ chủ mưu đằng sau vụ tấn công.
Cuối cùng, vào ngày 12 tháng 9 năm 2023, sàn giao dịch tiền điện tử tập trung CoinEx đã bị hacker tấn công và 54 triệu đô la đã bị đánh cắp. Như đã đề cập ở trên, nhiều bằng chứng chỉ ra Lazarus là hacker chịu trách nhiệm về cuộc tấn công này.
02. Lazarus thay đổi chiến thuật?
Phân tích hoạt động mới nhất của Lazarus cho thấy kể từ năm ngoái, họ đã chuyển trọng tâm từ các dịch vụ phi tập trung sang các dịch vụ tập trung. Bốn trong số năm vụ hack cuối cùng được thảo luận trước đó là nhằm vào các nhà cung cấp dịch vụ tài sản tiền điện tử tập trung. Trước năm 2020 và trước sự phát triển nhanh chóng của hệ sinh thái tài chính phi tập trung (DeFi), các sàn giao dịch tập trung là mục tiêu chính được Lazarus lựa chọn.
Có một số lời giải thích có thể giải thích tại sao Lazarus một lần nữa chuyển sự chú ý sang các dịch vụ tập trung.
Các cuộc tấn công giao thức DeFi trở nên khó khăn hơn
Nghiên cứu trước đây của Elliptic về các cuộc tấn công hack DeFi vào năm 2022 cho thấy rằng một cuộc tấn công sẽ xảy ra trung bình 4 ngày một lần vào năm 2022, với trung bình 32,6 triệu USD bị đánh cắp cho mỗi cuộc tấn công. Cầu nối chuỗi chéo đã trở thành một trong những loại giao thức DeFi bị hack phổ biến nhất vào năm 2022. Những xu hướng này có thể đã thúc đẩy những cải tiến trong các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh, thu hẹp phạm vi để tin tặc xác định và khai thác các lỗ hổng.
Các thể chế tập trung có mối quan hệ xã hội phức tạp cao
Trong nhiều cuộc tấn công hack trước đây, phương thức tấn công được Lazarus Group lựa chọn là kỹ thuật xã hội. Ví dụ: vụ hack Ronin Bridge trị giá 540 triệu USD là do một cựu nhân viên của công ty bị lừa bởi một lời mời làm việc giả trên LinkedIn. Tuy nhiên, các dịch vụ phi tập trung có xu hướng không có nhiều nhân viên và các dự án được phân cấp ở một mức độ nhất định. Do đó, việc giành được quyền truy cập độc hại cho nhà phát triển có thể không nhất thiết tương đương với việc giành được quyền truy cập quản trị vào hợp đồng thông minh.
Đồng thời, các sàn giao dịch tập trung có khả năng tuyển dụng số lượng nhân viên tương đối lớn, do đó mở rộng phạm vi các mục tiêu có thể. Chúng cũng có thể hoạt động bằng cách sử dụng các hệ thống công nghệ thông tin nội bộ, tập trung, tạo cơ hội cho phần mềm độc hại Lazarus xâm nhập vào doanh nghiệp.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
300 triệu USD trong 100 ngày, hacker Triều Tiên “điên tiền” trong giới mã hóa
Nguồn/hình elip
Biên dịch/Nick
Nhóm hacker Lazarus của Triều Tiên dường như đã tăng cường hoạt động gần đây, với 4 cuộc tấn công được xác nhận nhắm vào ngành công nghiệp mã hóa kể từ ngày 3 tháng 6. Gần đây, họ bị nghi ngờ đã thực hiện cuộc tấn công thứ 5. Giám đốc An ninh Thông tin SlowMist 23pds đã tweet rằng vụ tấn công trị giá 55 triệu USD vào sàn giao dịch mã hóa CoinEx là do tin tặc được nhà nước Triều Tiên bảo trợ gây ra.
Điều đáng chú ý là các hacker do Triều Tiên tài trợ đã đánh cắp khoảng 1,2 tỷ USD tiền điện tử từ khắp nơi trên thế giới kể từ năm 2017, theo một báo cáo trước đó của Associated Press trích dẫn cơ quan gián điệp chính của Hàn Quốc, Cơ quan Tình báo Quốc gia (NIS). NIS tin rằng Triều Tiên là một trong những quốc gia có động cơ đánh cắp tiền điện tử mạnh nhất trên thế giới và nước này đã chuyển trọng tâm sang tội phạm mạng sau khi Liên hợp quốc thắt chặt các lệnh trừng phạt kinh tế vào năm 2017 để đáp trả các vụ thử hạt nhân và tên lửa của nước này.
Ngoài ra, trong 104 ngày qua, nhóm hacker Triều Tiên Lazarus đã được xác nhận đã đánh cắp gần 2,4 triệu USD từ Atomic Wallet (100 triệu USD), CoinsPaid (37,3 triệu USD), Alphapo (60 triệu USD) và Stake.com (41 triệu USD) . tỷ tài sản tiền điện tử.
Như được hiển thị trong hình trên, phân tích Elliptic chỉ ra rằng một số tiền bị đánh cắp từ CoinEx đã được gửi đến địa chỉ được tổ chức Lazarus sử dụng để lưu trữ số tiền bị đánh cắp từ Stake.com, mặc dù trên một blockchain khác. Sau đó, số tiền này được liên kết chéo với Ethereum thông qua một cầu nối chuỗi chéo được Lazarus sử dụng trước đây và sau đó được gửi trở lại địa chỉ do tin tặc CoinEx kiểm soát.
Elliptic đã quan sát thấy kiểu trộn tiền này từ các hacker khác nhau trong vụ Lazarus, gần đây nhất là khi tiền điện tử bị đánh cắp từ Stake.com được trộn lẫn với số tiền bị đánh cắp từ ví Atomic. Những trường hợp tiền từ các tin tặc khác nhau được kết hợp lại được hiển thị bằng màu cam trong hình ảnh bên dưới.
###01. Lazarus tiến hành 5 cuộc tấn công trong 104 ngày
Vào năm 2022, một số vụ tấn công hack nổi tiếng được cho là do Lazarus thực hiện, bao gồm các cuộc tấn công vào Horizon Bridge của Harmony và Ronin Bridge của Axie Infinity, cả hai đều xảy ra vào nửa đầu năm ngoái. Từ đó cho đến tháng 6 năm nay, không có vụ trộm tiền điện tử lớn nào được công khai quy cho Lazarus. Do đó, nhiều cuộc tấn công hack khác nhau trong 104 ngày qua cho thấy hoạt động của nhóm hacker Triều Tiên này đang gia tăng.
Vào ngày 3 tháng 6 năm 2023, người dùng ví tiền điện tử phi tập trung Atomic Wallet đã mất hơn 100 triệu USD. Elliptic chính thức đổ lỗi cho Lazarus về vụ hack vào ngày 6 tháng 6 năm 2023, sau khi xác định được nhiều yếu tố cho thấy một nhóm hack của Triều Tiên phải chịu trách nhiệm, điều này sau đó đã được FBI xác nhận.
Vào ngày 22 tháng 7 năm 2023, Lazarus đã có được quyền truy cập vào ví nóng thuộc nền tảng thanh toán tiền điện tử CoinsPaid thông qua một cuộc tấn công kỹ thuật xã hội. Quyền truy cập này cho phép kẻ tấn công tạo yêu cầu ủy quyền để rút khoảng 37,3 triệu đô la tài sản tiền điện tử từ ví nóng của nền tảng. Vào ngày 26 tháng 7, CoinsPaid đã công bố một báo cáo cho rằng Lazarus chịu trách nhiệm về vụ tấn công, điều này cũng đã được Cục Điều tra Liên bang (FBI) xác nhận.
Cùng ngày, ngày 22 tháng 7, Lazarus đã tiến hành một cuộc tấn công cấp cao khác, lần này nhắm vào nhà cung cấp thanh toán tiền điện tử tập trung Alphapo, đánh cắp 60 triệu đô la tài sản tiền điện tử. Kẻ tấn công có thể đã giành được quyền truy cập thông qua khóa riêng bị rò rỉ trước đó. FBI sau đó xác nhận rằng Lazarus chịu trách nhiệm về vụ tấn công.
Vào ngày 4 tháng 9 năm 2023, nền tảng cờ bạc tiền điện tử trực tuyến Stake.com đã bị tấn công và các loại tiền ảo trị giá tổng cộng khoảng 41 triệu đô la Mỹ đã bị đánh cắp, có thể do khóa riêng bị đánh cắp. FBI hôm 6/9 công bố tổ chức Lazarus là kẻ chủ mưu đằng sau vụ tấn công.
Cuối cùng, vào ngày 12 tháng 9 năm 2023, sàn giao dịch tiền điện tử tập trung CoinEx đã bị hacker tấn công và 54 triệu đô la đã bị đánh cắp. Như đã đề cập ở trên, nhiều bằng chứng chỉ ra Lazarus là hacker chịu trách nhiệm về cuộc tấn công này.
02. Lazarus thay đổi chiến thuật?
Phân tích hoạt động mới nhất của Lazarus cho thấy kể từ năm ngoái, họ đã chuyển trọng tâm từ các dịch vụ phi tập trung sang các dịch vụ tập trung. Bốn trong số năm vụ hack cuối cùng được thảo luận trước đó là nhằm vào các nhà cung cấp dịch vụ tài sản tiền điện tử tập trung. Trước năm 2020 và trước sự phát triển nhanh chóng của hệ sinh thái tài chính phi tập trung (DeFi), các sàn giao dịch tập trung là mục tiêu chính được Lazarus lựa chọn.
Có một số lời giải thích có thể giải thích tại sao Lazarus một lần nữa chuyển sự chú ý sang các dịch vụ tập trung.
Các cuộc tấn công giao thức DeFi trở nên khó khăn hơn
Nghiên cứu trước đây của Elliptic về các cuộc tấn công hack DeFi vào năm 2022 cho thấy rằng một cuộc tấn công sẽ xảy ra trung bình 4 ngày một lần vào năm 2022, với trung bình 32,6 triệu USD bị đánh cắp cho mỗi cuộc tấn công. Cầu nối chuỗi chéo đã trở thành một trong những loại giao thức DeFi bị hack phổ biến nhất vào năm 2022. Những xu hướng này có thể đã thúc đẩy những cải tiến trong các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh, thu hẹp phạm vi để tin tặc xác định và khai thác các lỗ hổng.
Các thể chế tập trung có mối quan hệ xã hội phức tạp cao
Trong nhiều cuộc tấn công hack trước đây, phương thức tấn công được Lazarus Group lựa chọn là kỹ thuật xã hội. Ví dụ: vụ hack Ronin Bridge trị giá 540 triệu USD là do một cựu nhân viên của công ty bị lừa bởi một lời mời làm việc giả trên LinkedIn. Tuy nhiên, các dịch vụ phi tập trung có xu hướng không có nhiều nhân viên và các dự án được phân cấp ở một mức độ nhất định. Do đó, việc giành được quyền truy cập độc hại cho nhà phát triển có thể không nhất thiết tương đương với việc giành được quyền truy cập quản trị vào hợp đồng thông minh.
Đồng thời, các sàn giao dịch tập trung có khả năng tuyển dụng số lượng nhân viên tương đối lớn, do đó mở rộng phạm vi các mục tiêu có thể. Chúng cũng có thể hoạt động bằng cách sử dụng các hệ thống công nghệ thông tin nội bộ, tập trung, tạo cơ hội cho phần mềm độc hại Lazarus xâm nhập vào doanh nghiệp.