Beosin: Cách các tin tặc hàng đầu đánh cắp và rửa tiền điện tử
Tác giả: Beosin
Không biết các bạn còn nhớ gần 200 triệu đô la Mỹ xảy ra vào tháng 3 năm nay khôngEuler Financesự kiện tấn công.
Sau nhiều vòng đàm phán giữa Euler Labs và những kẻ tấn công, những kẻ tấn công đã trả lại tất cả số tiền bị đánh cắp từ giao thức.
Ban đầu, những kẻ tấn công Euler Finance đã chuyển 100 ETH cho một tổ chức hacker có nền tảng cấp nhà nước (cũng là hacker của sự cố bảo mật Ronin) nhằm gây nhầm lẫn cho công chúng. Sau đó, nhóm tin tặc đã gửi một thông báo trực tuyến tới những kẻ tấn công Euler, yêu cầu họ giải mã một tin nhắn được mã hóa.
Trong giao dịch bao gồm thông báo này, nhóm hack do nhà nước hậu thuẫn đã gửi 2 ETH cho những kẻ tấn công Euler.Tuy nhiên, các chuyên gia cho rằng tin nhắn này là một trò lừa đảo nhằm đánh cắp các khóa riêng tư của ví kẻ tấn công Euler.
Chẳng lẽ là "đen ăn đen" điển hình sao? Nó được hiểu rằngNhóm hack do nhà nước hậu thuẫn từ lâu đã tiến hành các cuộc tấn công mạng vào các doanh nghiệp tiền điện tử và đã tập hợp một số nhóm chuyên trách để thực hiện các cuộc tấn công mạng và rửa tiền bị đánh cắp.
Hôm nay chúng ta kết hợpBeosin KYTNền tảng phân tích và chống rửa tiền, hacker cấp quốc gia này tấn công và làm sạch tiền điện tử như thế nào?
Mô tả hình ảnh
Nguồn ảnh etda.or.th
Gần đây, một công ty tình báo nước ngoài đã phân tích các hoạt động tấn công của tổ chức tin tặc nền tảng cấp quốc gia (sau đây gọi là tổ chức tin tặc), bao gồm các cuộc tấn công vào tiền điện tử. Theo các nhà nghiên cứu, nhóm tin tặc sẽ sử dụng các kỹ thuật lừa đảo để cố gắng lây nhiễm mục tiêu, sau đó chặn các giao dịch chuyển tiền điện tử lớn, thay đổi địa chỉ người nhận và đẩy số tiền chuyển lên mức tối đa, nhằm mục đích rút cạn tiền tài khoản trong một giao dịch.
Tiền điện tử của bạn đã bị hack như thế nào?
Email Harpoon làm mồi nhử
Các nhóm tin tặc sử dụng email lừa đảo từ những người giả mạo hoặc lừa đảo để tiếp cận mục tiêu của chúng, với các trang web chứa trang đăng nhập giả lừa nạn nhân nhập thông tin đăng nhập tài khoản.
Mô tả hình ảnh
Nguồn kaspersky
Đánh cắp ứng dụng Android độc hại
Các công ty tình báo nước ngoài đã quan sát thấy các nhóm hack sử dụng các ứng dụng Android độc hại nhắm mục tiêu đến người dùng Trung Quốc đang tìm cách vay tiền điện tử, với ứng dụng và các miền liên quan có khả năng thu thập thông tin đăng nhập của người dùng.
Các nhóm tin tặc thậm chí sẽ thành lập các công ty phát triển phần mềm tiền điện tử giả mạo để lừa nạn nhân cài đặt các ứng dụng có vẻ hợp pháp, khi được cập nhật sẽ cài đặt các cửa hậu.
Các chuyên gia tin rằng nhóm tin tặc hiện đang tích cực thử nghiệm các phương pháp phân phối phần mềm độc hại mới, chẳng hạn như lây nhiễm cho nạn nhân bằng các loại tệp không được sử dụng trước đó như Visual Basic Script mới, tệp lô Windows ẩn và tệp thực thi Windows.
Thay thế plugin Metamask
Khi một tổ chức tin tặc giành được quyền truy cập vào máy chủ của người dùng, tổ chức đó sẽ theo dõi người dùng trong nhiều tuần hoặc nhiều tháng để thu thập keylogger và giám sát hoạt động hàng ngày của người dùng.
Nếu nhóm tin tặc thấy rằng người dùng mục tiêu sử dụng ví tiện ích mở rộng của trình duyệt (chẳng hạn như Metamask), chúng sẽ thay đổi nguồn tiện ích mở rộng từ Cửa hàng trực tuyến sang bộ nhớ cục bộ và thay thế thành phần tiện ích mở rộng cốt lõi (backgorund.js) bằng một phiên bản giả mạo.
Mô tả hình ảnh
Nguồn kaspersky
Mô tả hình ảnh
Nguồn kaspersky
Trong trường hợp này, tin tặc thiết lập giám sát các giao dịch giữa địa chỉ người gửi và người nhận cụ thể. Điều này kích hoạt thông báo và đánh cắp tiền khi phát hiện chuyển khoản lớn.
Mô tả hình ảnh
Nguồn kaspersky
Để đề phòng, hãy chú ý xem trình duyệt có chọn chế độ nhà phát triển hay không. Nếu bạn sử dụng chế độ nhà phát triển, hãy đảm bảo rằng các tiện ích mở rộng quan trọng là từ cửa hàng trực tuyến:
tấn công kỹ thuật xã hội
Nhóm nghiên cứu bảo mật Beosin cũng phát hiện ra rằng các nhóm hack có thể sử dụng các phương pháp kỹ thuật xã hội, chẳng hạn như giả mạo nền tảng giao dịch, gửi email lừa đảo, v.v., để lừa người dùng chuyển tiền điện tử vào tài khoản của họ.
Sàn giao dịch giả mạo: Giả danh sàn giao dịch tiền điện tử nổi tiếng, lừa người dùng nhập thông tin tài khoản của họ thông qua các trang web hoặc ứng dụng giả mạo, từ đó đánh cắp tài sản của người dùng.
Lừa đảo quỹ: tạo quỹ tiền điện tử giả, hứa hẹn mang lại lợi nhuận cao cho người dùng và hướng dẫn người dùng đầu tư, sau đó chuyển tiền của người dùng sang tài khoản khác và đóng quỹ.
Lừa đảo trên mạng xã hội: Sử dụng các nền tảng truyền thông xã hội, chẳng hạn như Twitter, Telegram, Reddit, v.v., để giả làm chuyên gia hoặc nhà đầu tư giao dịch tiền điện tử, đăng lời khuyên đầu tư hoặc phân tích giá sai lệch và dụ người dùng đầu tư, từ đó lừa đảo tiền.
Tin tặc rửa tiền điện tử như thế nào?
Làm sạch bằng máy trộn
Ngoài ra, các tổ chức tin tặc cũng sử dụng Tornado Cash, bộ trộn phổ biến nhất trên chuỗi khối Ethereum, để chuyển tiền, chẳng hạn như một sàn giao dịch đã bị đánh cắp vào năm 2020, khi số tiền bị đánh cắp vượt quá 270 triệu đô la Mỹ.
Mô tả hình ảnh
Mô tả hình ảnh
Bản đồ dòng quỹ của Beosin KYT Hacker Tổ chức Địa chỉ
Vậy, Tornado Cash là gì?
Tornado Cash là một giao thức bảo vệ quyền riêng tư trên Ethereum được thiết kế để cung cấp cho người dùng các giao dịch tiền điện tử ẩn danh hoàn toàn. Nó dựa trên công nghệ zk-SNARK (Zero-Knowledge Proof), cho phép người dùng thực hiện các giao dịch mà không để lộ bất kỳ thông tin cá nhân nào, do đó bảo vệ quyền riêng tư của họ.
Tornado Cash hoạt động bằng cách trộn các mã thông báo của người dùng với nhau, khiến chúng không thể truy cập được. Trước tiên, người dùng gửi mã thông báo đến một hợp đồng thông minh, sau đó hợp đồng này sẽ trộn các mã thông báo đó với mã thông báo của người dùng khác. Sau khi trộn xong, người dùng có thể rút số lượng token tương tự từ hợp đồng thông minh, nhưng các token này đã được trộn lẫn và không thể liên kết với các token đã gửi ban đầu.
Tornado Cash hỗ trợ mã thông báo Ethereum (ETH) và ERC-20 và người dùng có thể chọn các "nhóm hỗn hợp" khác nhau cho các giao dịch. Ngoài ra, Tornado Cash cũng có thể được sử dụng để gửi mã thông báo ẩn danh hoàn toàn cho người khác, khiến nó trở thành một công cụ quan trọng để bảo vệ quyền riêng tư.
Điều quan trọng cần lưu ý là Tornado Cash chỉ cung cấp bảo vệ quyền riêng tư, không ẩn danh. Người dùng cần thực hiện các bước thích hợp để bảo vệ danh tính của họ khỏi bị theo dõi bởi các phương tiện khác. Ngoài ra, sử dụng Tornado Cash cũng yêu cầu trả một số phí giao dịch nhất định, có thể cao hơn phí giao dịch thông thường.
Ngoài ra, máy trộn tiền phổ biến bao gồm:
Blender.io: Blender là một máy trộn tiền ảo được thành lập vào năm 2017 chạy trên chuỗi khối Bitcoin và là máy trộn đầu tiên bị Bộ Tài chính Hoa Kỳ xử phạt.
CoinMixer: Một giao thức trộn tiền bitcoin cũ đã tồn tại từ năm 2017 và hiện không bị chính phủ trừng phạt.
ChipMixer: Một công cụ trộn tiền điện tử trên dark web do một nhà điều hành Việt Nam cung cấp, đã rửa tiền điện tử trị giá hơn 3 tỷ USD kể từ năm 2017. Trang web và máy chủ phụ trợ đã bị Cảnh sát Liên bang tịch thu vào ngày 15 tháng 3 năm 2023.
Umbra: Umbra là một giao thức cho phép người dùng chuyển tiền một cách riêng tư trên Ethereum, với đặc điểm là chỉ người gửi và người trả tiền mới biết ai đã nhận tiền chuyển.
CoinJoin: CoinJoin là một trong những máy trộn lâu đời nhất, được phát triển cho Bitcoin (BTC) và Bitcoin Cash (BCH).
Ngoài các máy trộn tiền tệ chuyên dụng, việc sử dụng các sàn giao dịch phi tập trung như FixedFloat, sideshift và ChangeNow để trao đổi tiền ảo cũng có thể đạt được mục đích rửa tiền.
Làm sạch thông qua dịch vụ cho thuê năng lượng băm hoặc khai thác trên nền tảng đám mây
Nhóm hack đã sử dụng các dịch vụ tiền điện tử để rửa tiền bị đánh cắp, bao gồm mua địa chỉ miền và thanh toán cho các dịch vụ, cũng như có thể sử dụng dịch vụ cho thuê năng lượng băm và khai thác trên nền tảng đám mây để rửa tiền điện tử bị đánh cắp thành tiền điện tử sạch.
Tin tặc sử dụng bitcoin bị đánh cắp để thanh toán cho các dịch vụ của Namecheap (Nguồn: Mandiant)
Mô tả hình ảnh
Các tổ chức tin tặc rửa tiền thông qua dịch vụ cho thuê sức mạnh băm (nguồn Mandiant)
Làm sạch thông qua thị trường darknet
Trao đổi tiền điện tử trên thị trường darknet có thể được sử dụng bởi các nhóm hack để rửa tiền. Các thị trường này cho phép giao dịch ẩn danh, nơi tin tặc có thể giao dịch để biến tiền bẩn của họ thành tiền dùng một lần.
Quá trình tin tặc sử dụng thị trường darknet để rửa tiền điện tử có thể được chia thành các bước sau:
1. Tìm người mua trên thị trường darknet: Tin tặc sẽ tìm kiếm những người mua muốn mua tiền điện tử trên thị trường darknet. Có nhiều công cụ và dịch vụ cho giao dịch ẩn danh trên các thị trường này, giúp tin tặc thực hiện giao dịch dễ dàng hơn đồng thời giảm nguy cơ bị phát hiện.
2. Tiền điện tử sẵn sàng rửa tiền: Tin tặc cần có tiền điện tử mà chúng thu được từ các hoạt động bất hợp pháp để sẵn sàng chuyển tiền nhanh chóng tại thời điểm giao dịch đồng thời giảm nguy cơ bị theo dõi giao dịch.
3. Hoàn thành giao dịch: Tin tặc sẽ hoàn thành giao dịch thông qua các công cụ và dịch vụ giao dịch ẩn danh trên chợ đen, chuyển tiền điện tử đến địa chỉ của người mua. Các giao dịch này có thể liên quan đến nhiều loại tiền điện tử và phương thức thanh toán.
4. Chuyển số tiền đã rửa được sang các kênh hợp pháp: Tin tặc cần chuyển số tiền điện tử mà chúng lấy được từ thị trường darknet sang các kênh hợp pháp để chúng có thể sử dụng số tiền này cho các hoạt động kinh doanh và cuộc sống hàng ngày. Điều này có thể bao gồm chuyển đổi tiền điện tử sang tiền tệ fiat hoặc đầu tư chúng vào các tài sản hợp pháp khác.
Dọn dẹp bằng tài khoản proxy
Các nhóm tin tặc có thể sử dụng tài khoản proxy để tránh bị theo dõi. Các tài khoản đại lý này có thể được nắm giữ bởi các cộng sự ở nước ngoài hoặc sinh viên nước ngoài.
Sau đây là các kỹ thuật rửa tiền tài khoản proxy có thể xảy ra:
Rửa tiền thông qua kiểm soát tài khoản của người khác: Chính phủ hoặc các cơ quan của chính phủ có thể kiểm soát tài khoản ngân hàng của người khác để rửa tiền. Các tài khoản bị kiểm soát này có thể là kiều bào hoặc tài khoản cá nhân có liên quan mật thiết.
Mua tài khoản proxy có sẵn: Một khả năng khác là mua tài khoản proxy có sẵn. Các tài khoản này có thể được tạo và nắm giữ bởi các cộng sự ở nước ngoài hoặc đại lý ở nước ngoài.
Tạo các công ty và tài khoản giả: Các công ty và tài khoản giả có thể được tạo và sử dụng làm tài khoản ủy nhiệm để rửa tiền. Những chiến thuật như vậy thường liên quan đến danh tính, địa chỉ và thông tin liên hệ giả để trốn tránh sự giám sát và xem xét kỹ lưỡng.
