Tổ chức hacker Triều Tiên Lazarus Group đã đánh cắp 3 tỷ USD Tài sản tiền điện tử trong vòng sáu năm.

Gần đây, một báo cáo được phát hành bởi một công ty an ninh mạng đã tiết lộ một sự thật đáng kinh ngạc: tổ chức hacker liên quan đến Triều Tiên Lazarus Group đã đánh cắp tới 3 tỷ đô la Tài sản tiền điện tử trong 6 năm qua.

Báo cáo chỉ ra rằng, chỉ trong năm 2022, Nhóm Lazarus đã cướp đi 1,7 tỷ USD Tài sản tiền điện tử, số tiền này rất có thể được sử dụng để hỗ trợ các kế hoạch của Triều Tiên. Một công ty phân tích dữ liệu blockchain cho biết, trong số đó 1,1 tỷ USD đã bị đánh cắp từ các nền tảng tài chính phi tập trung (DeFi). Bộ An ninh Nội địa Hoa Kỳ trong báo cáo phát hành vào tháng 9 năm ngoái cũng nhấn mạnh việc Lazarus lợi dụng các giao thức DeFi.

Nhóm Lazarus nổi tiếng với việc đánh cắp tài chính. Năm 2016, họ đã xâm nhập vào Ngân hàng Trung ương Bangladesh, đánh cắp 81 triệu USD. Năm 2018, họ tấn công một sàn giao dịch tài sản tiền điện tử ở Nhật Bản, lấy đi 530 triệu USD, và đã đánh cắp 390 triệu USD từ Ngân hàng Trung ương Malaysia.

Kể từ năm 2017, Triều Tiên đã đưa ngành công nghiệp mã hóa vào danh sách các mục tiêu tấn công mạng chính, với tổng giá trị tài sản tiền điện tử bị đánh cắp vượt quá 3 tỷ USD. Trước đó, Triều Tiên đã từng chiếm đoạt mạng SWIFT để đánh cắp tiền từ các tổ chức tài chính, điều này đã thu hút sự chú ý lớn từ các tổ chức quốc tế, thúc đẩy các tổ chức tài chính tăng cường các biện pháp phòng vệ an ninh mạng.

Năm 2017, khi tài sản tiền điện tử bắt đầu trở thành xu hướng chính, hacker Bắc Triều Tiên đã chuyển mục tiêu từ tài chính truyền thống sang loại tài chính số mới này, trước tiên nhắm vào thị trường mã hóa Hàn Quốc, sau đó mở rộng ra toàn cầu.

Năm 2022, các hacker của Triều Tiên bị cáo buộc đã đánh cắp khoảng 1,7 tỷ USD tài sản tiền điện tử, con số này tương đương với khoảng 5% quy mô nền kinh tế trong nước của Triều Tiên, hoặc 45% ngân sách quân sự của họ. Số tiền này gần gấp 10 lần giá trị xuất khẩu của Triều Tiên vào năm 2021.

Cách thức hoạt động của hacker Triều Tiên trong ngành tài sản tiền điện tử giống như tội phạm mạng truyền thống, nhưng do có sự hỗ trợ của nhà nước, quy mô của chúng vượt xa các băng nhóm tội phạm thông thường. Theo thống kê, khoảng 44% tài sản tiền điện tử bị đánh cắp vào năm 2022 có liên quan đến hacker Triều Tiên.

Mục tiêu của hacker Triều Tiên không chỉ giới hạn ở các sàn giao dịch, mà còn bao gồm người dùng cá nhân, các công ty đầu tư mạo hiểm và các công nghệ cũng như giao thức khác. Những người làm trong ngành công nghiệp mã hóa, nhà điều hành sàn giao dịch và những người khởi nghiệp nên nhận thức được khả năng trở thành mục tiêu tấn công.

Các tổ chức tài chính truyền thống cũng cần cảnh giác với hoạt động của hacker Triều Tiên. Sau khi tiền điện tử bị đánh cắp được chuyển đổi thành tiền pháp định, hacker sẽ che giấu nguồn gốc của quỹ thông qua việc chuyển khoản thường xuyên. Họ thường sử dụng danh tính bị đánh cắp và ảnh đã được chỉnh sửa để vượt qua các quy trình chống rửa tiền và xác minh danh tính.

Do vì sự xâm nhập của hacker Bắc Triều Tiên thường bắt đầu từ kỹ thuật xã hội và lừa đảo trực tuyến, các tổ chức nên đào tạo nhân viên nhận diện những hoạt động như vậy và thực hiện xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không mật khẩu tuân thủ tiêu chuẩn FIDO2.

Triều Tiên sẽ tiếp tục coi việc đánh cắp Tài sản tiền điện tử là nguồn thu nhập chính để tài trợ cho các dự án quân sự và vũ khí. Trong những năm gần đây, số lượng Tài sản tiền điện tử bị đánh cắp và số lần phóng tên lửa đều tăng mạnh. Nếu không tăng cường quy định, yêu cầu về an ninh mạng và đầu tư an toàn cho các công ty Tài sản tiền điện tử, Triều Tiên rất có thể sẽ tiếp tục nhắm vào ngành Tài sản tiền điện tử.

Vào tháng 7 năm 2023, một công ty phần mềm của Mỹ đã bị xâm nhập bởi một hacker được hỗ trợ bởi Triều Tiên. Cuộc điều tra sau đó chỉ ra rằng nhóm hacker Triều Tiên chuyên về tài sản tiền điện tử đã chịu trách nhiệm cho cuộc tấn công này. Đến tháng 8 năm 2023, Cục Điều tra Liên bang Mỹ (FBI) đã thông báo rằng nhóm hacker Triều Tiên liên quan đến nhiều cuộc tấn công, đã đánh cắp 197 triệu đô la tài sản tiền điện tử. Số tiền này giúp chính phủ Triều Tiên có thể tiếp tục hoạt động dưới sự trừng phạt quốc tế nghiêm ngặt và tài trợ cho chi phí chương trình tên lửa đạn đạo lên tới 50%.

Từ năm 2017, hacker Triều Tiên đã nhiều lần xâm nhập vào các sàn giao dịch Tài sản tiền điện tử Hàn Quốc. Ngoài việc đánh cắp Tài sản tiền điện tử, họ cũng đã học cách khai thác Tài sản tiền điện tử. Vào tháng 1 năm 2018, các nhà nghiên cứu phát hiện ra rằng tổ chức hacker Triều Tiên đã sử dụng các máy chủ bị xâm nhập để khai thác coin Monero.

Năm 2020, các nhà nghiên cứu an ninh đã báo cáo một đợt tấn công mạng mới của hacker Triều Tiên nhằm vào ngành công nghiệp tài sản tiền điện tử toàn cầu. Năm 2021 là năm mà Triều Tiên hoạt động tích cực nhất nhằm vào ngành công nghiệp tài sản tiền điện tử, họ đã xâm nhập vào ít nhất 7 tổ chức tài sản tiền điện tử và bắt đầu nhắm đến coin và NFT.

Năm 2022, tổ chức hacker của Triều Tiên đã tiến hành các cuộc tấn công quy mô lớn vào nhiều cầu nối chuỗi, gây ra thiệt hại khổng lồ. Trong nửa đầu năm 2023, họ lại đã đánh cắp khoảng 200 triệu đô la Tài sản tiền điện tử từ nhiều nền tảng.

Để phòng ngừa các cuộc tấn công mạng từ Triều Tiên, khuyến nghị thực hiện các biện pháp sau:

1. Bật xác thực nhiều yếu tố (MFA), sử dụng thiết bị phần cứng để tăng cường bảo mật.
2. Bật tất cả các cài đặt MFA có sẵn cho sàn giao dịch Tài sản tiền điện tử.
3. Xác thực tính xác thực của tài khoản mạng xã hội.
4. Cẩn thận với airdrop hoặc hoạt động quảng bá miễn phí, luôn xác minh từ các kênh chính thức.
5. Kiểm tra URL, cảnh giác với các trang web lừa đảo.
6. Sử dụng ví phần cứng, nó an toàn hơn ví "nóng" luôn kết nối với internet.
7. Chỉ sử dụng các ứng dụng phi tập trung (dApps) đáng tin cậy và xác minh địa chỉ hợp đồng thông minh.
8. Kiểm tra kỹ địa chỉ trang web chính thức, tránh bị lừa bởi các trang web giả mạo.
9. Giữ thái độ hoài nghi đối với các giao dịch có vẻ quá ưu đãi.

Bằng cách thực hiện các biện pháp phòng ngừa này, có thể giảm đáng kể nguy cơ trở thành mục tiêu tấn công của hacker Triều Tiên.