Tin tặc Bắc Triều Tiên lại ra tay! Tổ chức Lazarus đã đánh cắp 30,6 triệu, sàn giao dịch Hàn Quốc bị tấn công lần thứ ba.

Tổ chức tội phạm mạng nổi tiếng của Bắc Triều Tiên, nhóm Lazarus, bị nghi ngờ đã lên kế hoạch cho một cuộc tấn công tài sản tiền điện tử lớn, dẫn đến việc sàn giao dịch tài sản tiền điện tử lớn nhất Hàn Quốc chịu thiệt hại khoảng 30,6 triệu USD. Nhà điều hành sàn giao dịch, Dunamu, xác nhận rằng vào thứ Năm, tài sản liên quan đến Solana trị giá 44,5 tỷ won đã được chuyển đến một ví tiền không được ủy quyền, công ty cho biết sẽ sử dụng toàn bộ dự trữ của mình để bồi thường cho người dùng.

Tổ chức Lazarus Bắc Triều Tiên bị nghi ngờ đã thực hiện cuộc tấn công hacker trị giá 30,6 triệu đô la

（Nguồn：X）

Theo báo cáo của hãng tin Hàn Quốc Yonhap dẫn lời các nguồn tin chính phủ và ngành, có dấu hiệu cho thấy cuộc tấn công này có thể liên quan đến cùng một tổ chức bị quy trách nhiệm cho các sự cố xâm nhập trước đó được gọi là Lazarus, khi các cơ quan chức năng đang chuẩn bị tiến hành kiểm tra tại sàn giao dịch này. Tổ chức này trước đó đã liên quan đến các hoạt động trộm cắp tài sản tiền điện tử với mục đích tạo ra thu nhập cho Bình Nhưỡng trong bối cảnh thiếu hụt ngoại tệ kéo dài. Bắc Triều Tiên đang phải đối mặt với các lệnh trừng phạt quốc tế nghiêm ngặt, các kênh thu thập ngoại tệ truyền thống rất hạn chế, do đó trộm cắp tài sản tiền điện tử trở thành nguồn tài chính quan trọng của họ.

Nhà điều hành sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, Dunamu, xác nhận rằng vào thứ Năm, tài sản liên quan đến Solana trị giá 44,5 tỷ won đã được chuyển đến một ví tiền không được ủy quyền. Công ty cho biết sẽ sử dụng toàn bộ dự trữ của mình để bồi thường cho người dùng, và đã nhanh chóng ngừng việc rút tiền và gửi tiền trong khi khởi động cuộc kiểm tra nội bộ. Phản ứng nhanh chóng này và cam kết bồi thường toàn bộ cho thấy Dunamu đang cố gắng giảm thiểu thiệt hại về niềm tin của người dùng do cuộc tấn công mạng này.

Các điều tra viên cho biết, công nghệ được sử dụng trong cuộc tấn công lần này rất giống với sự kiện vào năm 2019, khi mà kẻ tấn công được cho là đã đánh cắp 58 tỷ won Ethereum từ cùng một nền tảng. Các quan chức tin rằng, lần này, hacker có thể đã vượt qua cơ sở hạ tầng cốt lõi bằng cách giả mạo quản trị viên hoặc xâm nhập vào tài khoản nội bộ, cấp quyền rút tiền. Phương pháp thâm nhập nội bộ này rất điển hình trong mô hình tấn công của Lazarus, cho thấy tổ chức này đã có nghiên cứu sâu sắc về hệ thống mục tiêu và chuẩn bị thâm nhập lâu dài.

Các quan chức an ninh cho biết, những khoản tiền này đã nhanh chóng được chuyển qua ví tiền liên kết với các nền tảng khác, cho thấy có ai đó đang cố gắng che giấu dấu vết giao dịch bằng cách sử dụng các phương pháp rửa tiền mà Lazarus đã sử dụng trong quá khứ. Một quan chức cho biết: “Đây là thủ thuật quen thuộc của họ, phân tán các đồng tiền trên nhiều mạng lưới để phá vỡ việc theo dõi.”

bơm tổ chức Lazarus điển hình

Xâm nhập lâu dài：Thông qua kỹ thuật xã hội hoặc tấn công chuỗi cung ứng, ẩn nấp trong nhiều tháng hoặc thậm chí nhiều năm.

Lấy cắp quyền hạn nội bộ: Giả mạo quản trị viên hoặc xâm nhập tài khoản nội bộ để có quyền rút tiền

Chuyển tiền nhanh: Nhanh chóng chuyển tiền đến nhiều Ví tiền trước khi bị phát hiện.

Rửa tiền liên chuỗi: Phân tán token sang nhiều mạng lưới blockchain để phá vỡ việc theo dõi

Dịch vụ trộn coin: Sử dụng các giao thức trộn coin như Tornado Cash để ẩn thêm hướng dòng tiền.

Các nhà phân tích chỉ ra rằng Lazarus đã nhiều lần nhắm đến các nền tảng tài sản tiền điện tử nổi bật để tối đa hóa ảnh hưởng và độ phủ sóng, điều này cho thấy cuộc tấn công lần này có thể là một kế hoạch có chủ đích, nhằm tận dụng sự chú ý cao độ của công chúng. Tin tức về việc sàn giao dịch tiền điện tử lớn nhất Hàn Quốc bị tấn công có giá trị tin tức rất cao, và sự phơi bày cao như vậy có thể là một cách mà Bắc Triều Tiên thể hiện khả năng mạng của mình trước cộng đồng quốc tế.

Dunamu cam kết bồi thường toàn bộ và ngừng giao dịch

Nhà điều hành sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, Dunamu, xác nhận rằng vào thứ Năm, tài sản liên quan đến Solana trị giá 445 tỷ won (khoảng 30,6 triệu USD) đã bị chuyển đến một Ví tiền không được ủy quyền. Công ty cho biết sẽ sử dụng toàn bộ dự trữ của mình để bồi thường cho người dùng, đồng thời nhanh chóng ngừng rút tiền và gửi tiền trong khi khởi động kiểm tra nội bộ. Cam kết bồi thường toàn bộ này là điều không thường thấy trong các sự kiện bị tấn công của sàn giao dịch tiền điện tử, cho thấy sức mạnh tài chính của Dunamu và thái độ có trách nhiệm với người dùng.

Việc ngừng rút tiền và gửi tiền là biện pháp khẩn cấp tiêu chuẩn nhằm ngăn chặn các kẻ tấn công tiếp tục chuyển tiền hoặc khai thác lỗ hổng hệ thống. Tuy nhiên, việc ngừng này cũng sẽ gây bất tiện cho người dùng bình thường, khiến họ không thể thực hiện giao dịch hoặc rút tiền. Dunamu cần phải đạt được sự cân bằng giữa việc điều tra an ninh và khôi phục hoạt động bình thường, thời gian ngừng quá dài có thể dẫn đến việc người dùng chuyển sang nền tảng đối thủ.

Việc bồi thường toàn bộ mặc dù bảo vệ lợi ích của người dùng, nhưng lại là gánh nặng tài chính lớn đối với Dunamu. Thiệt hại 30,6 triệu đô la cộng với chi phí nâng cấp bảo mật có thể, tiền phạt quy định và thiệt hại về danh tiếng, tổng chi phí có thể vượt xa số tiền thiệt hại trực tiếp. Điều này cũng đã dẫn đến việc thảo luận về dự trữ an toàn và cơ chế bảo hiểm của các sàn giao dịch, liệu một sàn giao dịch đơn lẻ có thể chịu đựng tác động tài chính của những cuộc tấn công như vậy trong thời gian dài.

Các nhà phân tích blockchain đã theo dõi dòng tiền bị đánh cắp trên mạng xã hội. Một kẻ tấn công không xác định đã đánh cắp tiền từ một số ví nóng của sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, và sau một thời gian chờ đợi, đã bắt đầu chuyển tiền qua chuỗi. Vào một thời điểm nào đó, hacker đã chuyển USDC từ một chuỗi sang chuỗi khác thông qua cầu nối, phương pháp rửa tiền qua chuỗi này làm cho việc theo dõi trở nên cực kỳ khó khăn.

Thời điểm Naver mua lại gây nghi vấn

Ngay ngày hôm sau khi Naver công bố kế hoạch mua lại Dunamu thông qua việc hoán đổi cổ phiếu từ bộ phận tài chính của mình, sàn giao dịch này đã xảy ra sự cố vi phạm, khiến Naver trở thành tâm điểm chú ý của cả nước. Sự trùng hợp về thời gian này đã dấy lên nhiều suy đoán: Liệu có ai đó đang cố gắng phá hoại thương vụ mua lại? Liệu có nhân viên nội bộ nào đã rò rỉ thông tin về lỗ hổng bảo mật? Hay chỉ đơn thuần là một sự trùng hợp?

Naver là công ty mạng lớn nhất Hàn Quốc, kế hoạch mua lại Dunamu ban đầu được coi là một sự kiện mang tính cột mốc trong việc tích hợp ngành công nghiệp mã hóa với các tập đoàn công nghệ truyền thống. Tuy nhiên, sự cố tấn công mạng có thể ảnh hưởng đến giá trị và điều kiện thương thảo của vụ mua lại. Naver có thể yêu cầu giảm giá mua lại hoặc tăng cường các điều khoản an ninh, trong khi Dunamu cần chứng minh cho Naver thấy họ có thể cải thiện bảo mật.

Cùng lúc, công ty công nghệ tài chính Naver Financial thuộc tập đoàn internet Hàn Quốc Naver đang chuẩn bị ra mắt ví tiền stablecoin tại Busan, một phần trong nỗ lực liên tục của thành phố nhằm xây dựng nền kinh tế địa phương dựa trên blockchain. Theo báo cáo, Naver đã hoàn thành việc phát triển ví này, hiện đang tiến hành kiểm tra cuối cùng và dự kiến sẽ chính thức hoạt động vào tháng sau. Dự án này được phát triển hợp tác giữa công ty đầu tư mạo hiểm Hashed và sàn giao dịch tài sản số Busan (BDAN).

Kế hoạch mở rộng kinh doanh này trở nên nhạy cảm hơn sau cuộc tấn công của hacker. Nếu Naver muốn xây dựng uy tín trong lĩnh vực tiền điện tử, họ phải chứng minh khả năng cung cấp bảo mật tốt hơn sàn giao dịch tiền điện tử lớn nhất Hàn Quốc. Sự kiện này có thể thúc đẩy Naver thực hiện kiểm tra an ninh và kiểm tra áp lực kỹ lưỡng hơn trước khi ra mắt ví tiền ổn định.

Hàn Quốc có thể khôi phục các biện pháp trừng phạt đối với hacker Bắc Triều Tiên

Vào đầu tháng này, Hàn Quốc cho biết, sau khi Hoa Kỳ thực hiện các biện pháp mới để liên kết hoạt động đánh cắp tiền điện tử của Bình Nhưỡng với việc tài trợ cho chương trình vũ khí của họ, Hàn Quốc có thể xem xét lại cách thức trừng phạt Bắc Triều Tiên. Thứ trưởng Bộ Ngoại giao Hàn Quốc Kim Ji-na cho biết, Seoul có thể “xem xét lại các biện pháp trừng phạt khi thực sự cần thiết” và nhấn mạnh rằng họ sẽ phối hợp chặt chẽ với Washington để đối phó với các mối đe dọa mạng và kỹ thuật số ngày càng gia tăng từ Triều Tiên.

Kim cho biết: “Nếu Bình Nhưỡng đánh cắp tài sản tiền điện tử, sự phối hợp giữa Hàn Quốc và Mỹ là rất quan trọng, vì những tài sản tiền điện tử này có thể được sử dụng để tài trợ cho chương trình vũ khí hạt nhân và tên lửa của Bắc Triều Tiên, và gây ra mối đe dọa cho hệ sinh thái số của chúng ta.” Phát biểu này tiết lộ khía cạnh địa chính trị đứng sau các cuộc tấn công của tin tặc Bắc Triều Tiên, đây không chỉ là tội phạm kinh tế mà còn là mối đe dọa an ninh quốc gia.

Theo ước tính của Liên Hợp Quốc và Bộ Tài chính Hoa Kỳ, tổng số tiền mã hóa mà Bắc Triều Tiên bị đánh cắp thông qua các cuộc tấn công mạng đã vượt quá hàng tỷ đô la, và những khoản tiền này được sử dụng để né tránh các lệnh trừng phạt quốc tế, duy trì hoạt động của chính quyền và tài trợ cho các chương trình vũ khí hạt nhân và tên lửa. Nhóm Lazarus, được coi là lực lượng mạng tinh nhuệ nhất của Bắc Triều Tiên, đã nhắm đến các mục tiêu trên toàn cầu, từ sàn giao dịch tiền mã hóa đến các tổ chức tài chính truyền thống.

Sàn giao dịch tiền điện tử lớn nhất Hàn Quốc lần này chịu tổn thất 30,6 triệu USD, không phải là quy mô lớn nhất trong lịch sử các cuộc tấn công của tin tặc Bắc Triều Tiên, nhưng thời điểm xảy ra sau khi kế hoạch mua lại Naver được công bố, cùng với sự tương đồng về công nghệ với sự kiện năm 2019, đã khiến cho việc điều tra và quy kết trách nhiệm lần này trở nên phức tạp hơn. Chính phủ Hàn Quốc có thể sẽ khởi động lại các biện pháp trừng phạt nghiêm khắc hơn, và cách mà cộng đồng quốc tế tăng cường phòng ngừa các mối đe dọa mạng từ Bắc Triều Tiên sẽ là những điểm chính được chú ý trong thời gian tới.