Tác giả gốc: Elliptic

Văn bản gốc được biên soạn bởi: Babywhale, Foresight News

Nhóm hacker Triều Tiên Lazarus dường như đã tăng cường hoạt động gần đây, xác nhận 4 cuộc tấn công nhằm vào các công ty tiền điện tử kể từ ngày 3 tháng 6 và cuộc tấn công gần đây vào sàn giao dịch tiền điện tử CoinEx có khả năng do Lazarus thực hiện. Đáp lại, CoinEx đã phát hành nhiềutweet, cho thấy các địa chỉ ví đáng ngờ vẫn đang được xác định nên tổng giá trị số tiền bị đánh cắp vẫn chưa rõ ràng, nhưng có thể đã lên tới 54 triệu USD.

Trong 100 ngày qua, Lazarus được xác nhận đã đánh cắp trị giá gần 240 triệu USD từ Atomic Wallet (100 triệu USD), CoinsPaid (37,3 triệu USD), Alphapo (60 triệu USD) và Stake.com (41 triệu USD).

Như đã trình bày ở trên, Elliptic đã phân tích rằng một số tiền bị đánh cắp từ CoinEx đã được gửi đến địa chỉ được tổ chức Lazarus sử dụng để lưu trữ số tiền bị đánh cắp từ Stake.com, mặc dù trên một blockchain khác. Sau đó, số tiền này được liên kết chéo với Ethereum thông qua một cầu nối chuỗi chéo được Lazarus sử dụng trước đây và sau đó được gửi trở lại một địa chỉ được cho là do tin tặc CoinEx kiểm soát. Elliptic đã quan sát thấy kiểu trộn tiền này từ các hacker khác nhau trong vụ Lazarus, gần đây nhất là khi số tiền bị đánh cắp từ Stake.com được trộn lẫn với số tiền bị đánh cắp từ ví Atomic. Những trường hợp tiền từ các tin tặc khác nhau được kết hợp lại được hiển thị bằng màu cam trong hình ảnh bên dưới.

Năm cuộc tấn công trong hơn 100 ngày

Vào năm 2022, một số vụ hack nổi tiếng được cho là do Lazarus thực hiện, bao gồmCầu Horizon của Harmony đang bị tấn côngVàCầu Ronin của Axie Infinity đang bị tấn công, cả hai vụ việc đều xảy ra vào nửa đầu năm ngoái. Từ đó cho đến tháng 6 năm nay, không có vụ trộm tiền điện tử lớn nào được công khai quy cho Lazarus. Do đó, nhiều cuộc tấn công hack khác nhau trong khoảng 100 ngày qua cho thấy các nhóm hacker Triều Tiên đang hoạt động trở lại.

Vào ngày 3 tháng 6 năm 2023, người dùng ví tiền điện tử phi tập trung Atomic Wallet đã mất hơn 100 triệu USD. Elliptic chính thức chỉ định vụ hack vào ngày 6 tháng 6 năm 2023, sau khi xác định nhiều yếu tố cho thấy một nhóm hack Triều Tiên phải chịu trách nhiệm.Đổ lỗi cho Lazarus, và sau đó nhận được giấy phép của FBIXác nhận。

Vào ngày 22 tháng 7 năm 2023, Lazarus đã có được quyền truy cập vào ví nóng thuộc nền tảng thanh toán tiền điện tử CoinsPaid thông qua một cuộc tấn công kỹ thuật xã hội. Quyền truy cập này cho phép kẻ tấn công tạo yêu cầu ủy quyền để rút khoảng 37,3 triệu đô la tài sản tiền điện tử từ ví nóng của nền tảng. Vào ngày 26 tháng 7, CoinsPaid đã được phát hànhBáo cáocho biết Lazarus chịu trách nhiệm về vụ tấn công và đã nhận được sự giúp đỡ từ FBIXác nhận。

Cùng ngày, ngày 22 tháng 7, Lazarus đã tiến hành một cuộc tấn công khác, lần này nhắm vào nhà cung cấp thanh toán tiền điện tử tập trung Alphapo, đánh cắp 60 triệu đô la tài sản tiền điện tử. Kẻ tấn công có thể đã giành được quyền truy cập thông qua khóa riêng bị rò rỉ trước đó. FBI sau đó một lần nữaXác nhậnLazarus là kẻ tấn công trong vụ việc này.

Vào ngày 4 tháng 9 năm 2023, nền tảng cờ bạc tiền điện tử trực tuyến Stake.com đã bị tấn công và số tiền điện tử trị giá khoảng 41 triệu đô la đã bị đánh cắp, có thể do khóa riêng tư bị đánh cắp. Được FBI đăng vào ngày 6 tháng 9thông báo, xác nhận tổ chức Lazarus đứng sau vụ tấn công.

Cuối cùng, vào ngày 12 tháng 9 năm 2023, sàn giao dịch tiền điện tử tập trung CoinEx đã trở thành nạn nhân của một cuộc tấn công của hacker và 54 triệu đô la đã bị đánh cắp. Như đã đề cập ở trên, nhiều bằng chứng cho thấy Lazarus phải chịu trách nhiệm về cuộc tấn công này.

Lazarus thay đổi “chiến thuật” của mình?

Phân tích hoạt động mới nhất của Lazarus cho thấy kể từ năm ngoái, họ đã chuyển trọng tâm từ các dịch vụ phi tập trung sang các dịch vụ tập trung. Bốn trong số năm vụ hack gần đây đã thảo luận về các nhà cung cấp dịch vụ tài sản tiền điện tử tập trung được nhắm mục tiêu trước đó. Trước năm 2020, trước sự trỗi dậy nhanh chóng của hệ sinh thái DeFi, các sàn giao dịch tập trung là mục tiêu chính của Lazarus.

Có một số lời giải thích có thể giải thích tại sao Lazarus một lần nữa chuyển sự chú ý sang các dịch vụ tập trung.

Tập trung hơn vào bảo mật: Phản hồi trước đây của Elliptic đối với các vụ hack DeFi năm 2022Nghiên cứuNgười ta phát hiện ra rằng một cuộc tấn công xảy ra trung bình bốn ngày một lần vào năm 2022, với trung bình 32,6 triệu USD bị đánh cắp cho mỗi cuộc tấn công. Cầu nối chuỗi chéo đã trở thành một trong những loại giao thức DeFi bị hack phổ biến nhất vào năm 2022. Những xu hướng này có thể đã thúc đẩy những cải tiến trong các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh, thu hẹp phạm vi để tin tặc xác định và khai thác các lỗ hổng.

Tính nhạy cảm với kỹ thuật xã hội: Trong nhiều cuộc tấn công hack, phương pháp tấn công được Nhóm Lazarus lựa chọn là kỹ thuật xã hội. Ví dụ: vụ hack Ronin Bridge trị giá 540 triệu USD làNhững “khoảng trống” được xác định thông qua cơ hội việc làm giả trên LinkedIn. Tuy nhiên, các dịch vụ phi tập trung có xu hướng không có nhiều nhân viên và – như tên gọi của nó – được phân cấp ở các mức độ khác nhau. Do đó, việc giành được quyền truy cập độc hại cho nhà phát triển có thể không nhất thiết tương đương với việc giành được quyền truy cập quản trị vào hợp đồng thông minh.

Đồng thời, các sàn giao dịch tập trung có khả năng sử dụng lực lượng lao động tương đối lớn hơn, từ đó mở rộng phạm vi mục tiêu có thể. Chúng cũng có thể hoạt động bằng cách sử dụng hệ thống công nghệ thông tin nội bộ tập trung, tạo cơ hội lớn hơn cho phần mềm độc hại Lazarus xâm nhập vào doanh nghiệp.