Beosin: แฮ็กเกอร์ชั้นนำขโมยและฟอกเงินดิจิทัลได้อย่างไร

ผู้เขียน: เบสซิน

ฉันไม่รู้ว่าคุณยังจำเงินเกือบ 200 ล้านเหรียญสหรัฐที่เกิดขึ้นในเดือนมีนาคมปีนี้ได้ไหมEuler Financeเหตุการณ์การโจมตี

หลังจากการเจรจาหลายรอบระหว่าง Euler Labs และผู้โจมตี ผู้โจมตีได้คืนเงินทั้งหมดที่ถูกขโมยไปจากโปรโตคอล

ในตอนแรก ผู้โจมตีของ Euler Finance ได้โอน 100 ETH ไปยังองค์กรแฮ็กเกอร์เบื้องหลังระดับรัฐ (รวมถึงแฮ็กเกอร์ของเหตุการณ์ด้านความปลอดภัยของ Ronin ด้วย) เพื่อสร้างความสับสนให้กับสาธารณชน ต่อจากนั้น กลุ่มแฮ็กเกอร์ได้ส่งการแจ้งเตือนแบบออนไลน์ไปยังผู้โจมตีของออยเลอร์ โดยขอให้พวกเขาถอดรหัสข้อความที่เข้ารหัส

ในธุรกรรมที่มีประกาศนี้ กลุ่มแฮ็กที่ได้รับการสนับสนุนจากรัฐได้ส่ง ETH 2 รายการไปยังผู้โจมตีออยเลอร์แต่ผู้เชี่ยวชาญกล่าวว่าข้อความดังกล่าวเป็นการหลอกลวงแบบฟิชชิงที่พยายามขโมยกุญแจส่วนตัวไปยังกระเป๋าเงินของผู้โจมตีออยเลอร์

มันเป็น "สีดำกินสีดำ" ทั่วไปหรือไม่? เป็นที่เข้าใจกันว่ากลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐได้ทำการโจมตีทางไซเบอร์ในธุรกิจ cryptocurrency มาเป็นเวลานาน และได้รวบรวมทีมเฉพาะทางหลายทีมเพื่อดำเนินการโจมตีทางไซเบอร์และฟอกเงินที่ถูกขโมย

วันนี้เรารวมBeosin KYTแพลตฟอร์มต่อต้านการฟอกเงินและการวิเคราะห์ แฮ็กเกอร์ระดับประเทศรายนี้โจมตีและทำความสะอาดสกุลเงินดิจิทัลอย่างไร

คำอธิบายภาพ

ที่มาภาพ etda.or.th

เมื่อเร็ว ๆ นี้ บริษัทข่าวกรองต่างประเทศได้วิเคราะห์กิจกรรมการโจมตีขององค์กรแฮ็กเกอร์เบื้องหลังระดับชาติ (ต่อไปนี้จะเรียกว่าองค์กรแฮ็กเกอร์) ซึ่งรวมถึงการโจมตีสกุลเงินดิจิทัล จากข้อมูลของนักวิจัย กลุ่มแฮ็กเกอร์จะใช้เทคนิคฟิชชิ่งเพื่อพยายามทำให้เป้าหมายติดไวรัส จากนั้นสกัดกั้นการถ่ายโอนสกุลเงินดิจิตอลขนาดใหญ่ เปลี่ยนที่อยู่ของผู้รับ และผลักดันจำนวนเงินที่โอนไปยังจำนวนเงินสูงสุด โดยมีจุดประสงค์เพื่อทำให้เงินในบัญชีหมดลงใน ธุรกรรมเดียว

cryptocurrency ของคุณถูกแฮ็คได้อย่างไร?

อีเมลฉมวกเป็นเหยื่อล่อ

กลุ่มแฮ็กเกอร์ใช้อีเมลฟิชชิ่งแบบสเปียร์จากบุคคลปลอมหรือหลอกลวงเพื่อให้เข้าใกล้เป้าหมายมากขึ้น โดยมีไซต์ที่มีหน้าเข้าสู่ระบบปลอมเพื่อหลอกให้เหยื่อป้อนข้อมูลรับรองบัญชี

คำอธิบายภาพ

ที่มา แคสเปอร์สกี้

การขโมยแอป Android ที่เป็นอันตราย

บริษัทข่าวกรองต่างประเทศได้สังเกตเห็นกลุ่มแฮ็คที่ใช้แอพ Android ที่เป็นอันตรายโดยกำหนดเป้าหมายผู้ใช้ชาวจีนที่ต้องการขอสินเชื่อ cryptocurrency โดยแอพและโดเมนที่เกี่ยวข้องอาจเก็บเกี่ยวข้อมูลรับรองผู้ใช้

กลุ่มแฮ็กเกอร์จะตั้งบริษัทพัฒนาซอฟต์แวร์ cryptocurrency ปลอมเพื่อหลอกล่อเหยื่อให้ติดตั้งแอพที่ดูถูกต้องซึ่งเมื่ออัปเดตแล้วจะติดตั้งแบ็คดอร์

ผู้เชี่ยวชาญเชื่อว่ากลุ่มแฮ็กเกอร์กำลังทดสอบวิธีการส่งมัลแวร์ใหม่ๆ เช่น แพร่เชื้อให้เหยื่อด้วยไฟล์ประเภทที่ไม่ได้ใช้ก่อนหน้านี้ เช่น Visual Basic Script ใหม่ ไฟล์แบตช์ของ Windows ที่ซ่อนอยู่ และไฟล์ปฏิบัติการของ Windows

แทนที่ปลั๊กอิน Metamask

เมื่อองค์กรแฮ็กเกอร์เข้าถึงโฮสต์ของผู้ใช้ได้ องค์กรจะตรวจสอบผู้ใช้เป็นเวลาหลายสัปดาห์หรือหลายเดือนเพื่อรวบรวมคีย์ล็อกเกอร์และตรวจสอบการทำงานประจำวันของผู้ใช้

หากกลุ่มแฮ็กเกอร์พบว่าผู้ใช้เป้าหมายใช้กระเป๋าเงินส่วนขยายของเบราว์เซอร์ (เช่น Metamask) พวกเขาจะเปลี่ยนแหล่งที่มาของส่วนขยายจากเว็บสโตร์เป็นที่จัดเก็บในตัวเครื่อง และแทนที่ส่วนประกอบส่วนขยายหลัก (backgorund.js) ด้วยเวอร์ชันดัดแปลง

คำอธิบายภาพ

ที่มา แคสเปอร์สกี้

คำอธิบายภาพ

ที่มา แคสเปอร์สกี้

ในกรณีนี้ แฮ็กเกอร์ตั้งค่าการตรวจสอบธุรกรรมระหว่างที่อยู่ผู้ส่งและผู้รับที่ระบุ สิ่งนี้จะกระตุ้นการแจ้งเตือนและขโมยเงินเมื่อตรวจพบการโอนเงินจำนวนมาก

คำอธิบายภาพ

ที่มา แคสเปอร์สกี้

ในกรณีนี้ ให้สังเกตว่าเบราว์เซอร์เลือกโหมดผู้พัฒนาหรือไม่ หากคุณใช้โหมดผู้พัฒนา ตรวจสอบให้แน่ใจว่าส่วนขยายที่สำคัญมาจากร้านค้าออนไลน์:

การโจมตีทางวิศวกรรมสังคม

ทีมวิจัยด้านความปลอดภัยของ Beosin ยังพบว่ากลุ่มแฮ็คอาจใช้วิธีการทางวิศวกรรมสังคม เช่น แพลตฟอร์มการซื้อขายปลอม การส่งอีเมลหลอกลวง เป็นต้น เพื่อหลอกลวงให้ผู้ใช้โอนสกุลเงินดิจิทัลไปยังบัญชีของตน

แพลตฟอร์มการซื้อขายของปลอม: แสร้งทำเป็นแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลที่รู้จักกันดี หลอกให้ผู้ใช้ป้อนข้อมูลบัญชีของตนผ่านเว็บไซต์หรือแอปพลิเคชันปลอม ซึ่งจะเป็นการขโมยทรัพย์สินของผู้ใช้

การฉ้อโกงเงิน: สร้างกองทุน cryptocurrency ปลอม สัญญาว่าจะให้ผลตอบแทนสูงแก่ผู้ใช้ และแนะนำให้ผู้ใช้ลงทุน จากนั้นจึงโอนเงินของผู้ใช้ไปยังบัญชีอื่น และปิดกองทุน

การฉ้อฉลทางโซเชียลมีเดีย: ใช้แพลตฟอร์มโซเชียลมีเดีย เช่น Twitter, Telegram, Reddit เป็นต้น เพื่อแสร้งทำเป็นผู้เชี่ยวชาญด้านการซื้อขายสกุลเงินดิจิทัลหรือนักลงทุน เผยแพร่คำแนะนำการลงทุนหรือการวิเคราะห์ราคาที่เป็นเท็จ และหลอกล่อผู้ใช้ให้ลงทุน ซึ่งจะเป็นการฉ้อโกงเงิน

อ่านเพิ่มเติม:การเข้ารหัส big V พบไวรัสม้าโทรจันและกระเป๋าเงินของเขาถูกขโมยทรัพย์สินจำนวนมาก มันให้ความรู้แจ้งอะไรแก่เราบ้าง?

แฮกเกอร์ฟอก Cryptocurrencies อย่างไร?

ทำความสะอาดด้วยเครื่องผสม

นอกจากนี้ องค์กรแฮ็กเกอร์ยังใช้ Tornado Cash ซึ่งเป็นมิกเซอร์ยอดนิยมบน Ethereum blockchain เพื่อโอนเงิน ตัวอย่างเช่น การแลกเปลี่ยนถูกขโมยในปี 2020 เมื่อเงินที่ถูกขโมยเกิน 270 ล้านดอลลาร์สหรัฐ

คำอธิบายภาพ

คำอธิบายภาพ

แผนที่การไหลของเงินทุนของที่อยู่องค์กร Beosin KYT Hacker

ดังนั้น Tornado Cash คืออะไร?

Tornado Cash เป็นโปรโตคอลการรักษาความเป็นส่วนตัวบน Ethereum ที่ออกแบบมาเพื่อให้ผู้ใช้ทำธุรกรรม cryptocurrency ที่ไม่ระบุชื่อได้อย่างสมบูรณ์ มันขึ้นอยู่กับเทคโนโลยี zk-SNARK (Zero-Knowledge Proof) ซึ่งช่วยให้ผู้ใช้สามารถทำธุรกรรมโดยไม่ต้องเปิดเผยข้อมูลส่วนบุคคลใด ๆ ซึ่งเป็นการปกป้องความเป็นส่วนตัวของพวกเขา

Tornado Cash ทำงานโดยการผสมโทเค็นของผู้ใช้เข้าด้วยกัน ทำให้ไม่สามารถติดตามได้ ผู้ใช้จะส่งโทเค็นไปยังสัญญาอัจฉริยะก่อน จากนั้นจึงผสมโทเค็นเหล่านั้นกับโทเค็นของผู้ใช้รายอื่น หลังจากการผสมเสร็จสิ้น ผู้ใช้สามารถถอนโทเค็นในจำนวนที่เท่ากันจากสัญญาอัจฉริยะได้ แต่โทเค็นเหล่านี้ถูกผสมและไม่สามารถเชื่อมโยงกับโทเค็นที่ส่งดั้งเดิมได้

Tornado Cash รองรับโทเค็น Ethereum (ETH) และ ERC-20 และผู้ใช้สามารถเลือก "กลุ่มผสม" ที่แตกต่างกันสำหรับการทำธุรกรรม นอกจากนี้ยังสามารถใช้ Tornado Cash เพื่อส่งโทเค็นที่ไม่ระบุชื่อไปยังบุคคลอื่น ทำให้เป็นเครื่องมือสำคัญสำหรับการปกป้องความเป็นส่วนตัว

โปรดทราบว่า Tornado Cash ให้การปกป้องความเป็นส่วนตัวเท่านั้น ไม่ใช่การเปิดเผยตัวตน ผู้ใช้จำเป็นต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อป้องกันตัวตนของตนจากการถูกติดตามด้วยวิธีอื่น นอกจากนี้ การใช้ Tornado Cash ยังต้องชำระค่าธรรมเนียมการทำธุรกรรมบางอย่าง ซึ่งอาจสูงกว่าค่าธรรมเนียมการทำธุรกรรมปกติ

นอกจากนี้ เครื่องผสมเหรียญทั่วไปยังรวมถึง:

Blender.io: Blender เป็นตัวผสมสกุลเงินเสมือนจริงที่ก่อตั้งขึ้นในปี 2560 ซึ่งทำงานบนบล็อกเชน Bitcoin และเป็นตัวผสมตัวแรกที่ได้รับการอนุมัติจากกระทรวงการคลังของสหรัฐอเมริกา

CoinMixer: โปรโตคอลการผสมสกุลเงิน bitcoin เก่าที่มีมาตั้งแต่ปี 2560 และปัจจุบันไม่อยู่ภายใต้การคว่ำบาตรของรัฐบาล

ChipMixer: เครื่องมือผสม cryptocurrency เว็บมืดที่ให้บริการโดยผู้ให้บริการชาวเวียดนาม ซึ่งได้ฟอกเงิน cryptocurrency มูลค่ากว่า 3 พันล้านดอลลาร์ตั้งแต่ปี 2560 เว็บไซต์และเซิร์ฟเวอร์ส่วนหลังถูกยึดโดย Federal Police เมื่อวันที่ 15 มีนาคม 2566

Umbra: Umbra เป็นโปรโตคอลที่ช่วยให้ผู้ใช้สามารถโอนเงินแบบส่วนตัวบน Ethereum โดยมีลักษณะเฉพาะที่มีเพียงผู้ส่งและผู้ชำระเงินเท่านั้นที่รู้ว่าใครได้รับการโอน

CoinJoin: CoinJoin เป็นหนึ่งในมิกเซอร์ที่เก่าแก่ที่สุดที่พัฒนาสำหรับ Bitcoin (BTC) และ Bitcoin Cash (BCH)

นอกจากเครื่องมือผสมสกุลเงินแบบพิเศษแล้ว การใช้การแลกเปลี่ยนแบบกระจายอำนาจ เช่น FixedFloat, sideshift และ ChangeNow เพื่อแลกเปลี่ยนสกุลเงินเสมือนจริงยังสามารถบรรลุวัตถุประสงค์ในการฟอกเงินได้อีกด้วย

ทำความสะอาดผ่านการเช่าซื้อพลังงานแฮชหรือบริการขุดบนคลาวด์

กลุ่มแฮ็คใช้บริการ cryptocurrency เพื่อฟอกเงินที่ถูกขโมย รวมถึงการซื้อที่อยู่โดเมนและชำระค่าบริการ ตลอดจนอาจใช้บริการเช่าซื้อพลังงานแฮชและบริการขุดบนคลาวด์เพื่อฟอกเงิน cryptocurrency ที่ถูกขโมยให้เป็น cryptocurrency ที่สะอาด

แฮ็กเกอร์ใช้ bitcoins ที่ถูกขโมยเพื่อชำระค่าบริการ Namecheap (ที่มา: Mandiant)

คำอธิบายภาพ

องค์กรแฮ็กเกอร์ฟอกเงินผ่านบริการให้เช่าพลังงานแฮช (ที่มา Mandiant)

ทำความสะอาดผ่านตลาดมืด

การแลกเปลี่ยน Cryptocurrency ในตลาด darknet อาจถูกใช้โดยกลุ่มแฮ็คเพื่อฟอกเงิน ตลาดเหล่านี้อนุญาตให้ทำธุรกรรมโดยไม่เปิดเผยตัวตน ซึ่งแฮ็กเกอร์สามารถทำธุรกรรมเพื่อเปลี่ยนเงินสกปรกให้กลายเป็นเงินใช้แล้วทิ้ง

กระบวนการของแฮ็กเกอร์ที่ใช้ตลาดมืดเพื่อฟอกเงินดิจิตอลสามารถแบ่งออกเป็นขั้นตอนต่อไปนี้:

1. ค้นหาผู้ซื้อในตลาด darknet: แฮ็กเกอร์จะมองหาผู้ซื้อที่ต้องการซื้อ cryptocurrencies ในตลาด darknet มีเครื่องมือและบริการมากมายสำหรับธุรกรรมที่ไม่ระบุชื่อในตลาดเหล่านี้ ทำให้แฮ็กเกอร์ทำธุรกรรมได้ง่ายขึ้นในขณะที่ลดความเสี่ยงที่จะถูกค้นพบ

2. สกุลเงินดิจิทัลที่พร้อมสำหรับการฟอก: แฮ็กเกอร์จำเป็นต้องมีสกุลเงินดิจิทัลที่ได้รับจากกิจกรรมที่ผิดกฎหมาย พร้อมที่จะเคลื่อนย้ายเงินอย่างรวดเร็วในขณะที่ทำธุรกรรม ในขณะเดียวกันก็ลดความเสี่ยงที่ธุรกรรมจะถูกติดตาม

3. ทำธุรกรรมให้เสร็จสมบูรณ์: แฮ็กเกอร์จะทำธุรกรรมให้เสร็จสิ้นผ่านเครื่องมือและบริการธุรกรรมที่ไม่ระบุชื่อในตลาดเว็บมืด โดยโอนสกุลเงินดิจิทัลไปยังที่อยู่ของผู้ซื้อ ธุรกรรมเหล่านี้อาจเกี่ยวข้องกับ cryptocurrencies และวิธีการชำระเงินที่หลากหลาย

4. โอนเงินที่ฟอกแล้วไปยังช่องทางที่ถูกต้อง: แฮ็กเกอร์จำเป็นต้องโอน cryptocurrencies ที่ได้รับจากตลาดมืดไปยังช่องทางที่ถูกต้อง เพื่อให้พวกเขาสามารถใช้เงินเหล่านี้สำหรับชีวิตประจำวันและกิจกรรมทางธุรกิจ ซึ่งอาจรวมถึงการแปลงสกุลเงินดิจิทัลเป็นสกุลเงินคำสั่ง หรือการลงทุนในทรัพย์สินทางกฎหมายอื่นๆ

การทำความสะอาดด้วยบัญชีพร็อกซี

กลุ่มแฮ็กเกอร์อาจใช้บัญชีพร็อกซีเพื่อหลีกเลี่ยงการติดตาม บัญชีตัวแทนเหล่านี้อาจถือโดยผู้ร่วมงานในต่างประเทศหรือนักเรียนต่างชาติ

ต่อไปนี้เป็นเทคนิคการฟอกเงินบัญชีตัวแทนที่เป็นไปได้:

การฟอกเงินผ่านการควบคุมบัญชีของผู้อื่น: รัฐบาลหรือตัวแทนอาจเข้าควบคุมบัญชีธนาคารของผู้อื่นเพื่อฟอกเงิน บัญชีที่ถูกควบคุมเหล่านี้อาจเป็นบัญชีของเพื่อนร่วมชาติในต่างประเทศหรือบัญชีส่วนบุคคลที่เกี่ยวข้องอย่างใกล้ชิด

การซื้อบัญชีพร็อกซีสำเร็จรูป: ความเป็นไปได้อีกอย่างคือการซื้อบัญชีพร็อกซีที่มีอยู่แล้ว บัญชีเหล่านี้อาจสร้างและถือครองโดยพนักงานในต่างประเทศหรือตัวแทนในต่างประเทศ

การสร้างบริษัทและบัญชีปลอม: บริษัทและบัญชีปลอมอาจถูกสร้างและใช้เป็นบัญชีพร็อกซี่สำหรับการฟอกเงิน กลยุทธ์ดังกล่าวมักเกี่ยวข้องกับการปลอมแปลงตัวตน ที่อยู่ และข้อมูลการติดต่อเพื่อหลีกเลี่ยงการกำกับดูแลและการตรวจสอบข้อเท็จจริง