Nhóm hacker Lazarus của Triều Tiên dường như đã tăng cường hoạt động gần đây, với bốn cuộc tấn công được xác nhận vào các thực thể tiền điện tử kể từ ngày 3 tháng 6. Giờ đây, họ bị nghi ngờ thực hiện cuộc tấn công thứ năm, lần này là vào CoinEx vào ngày 12 tháng 9. Đáp lại, CoinEx đã đưa ra một số tweet cho biết rằng địa chỉ ví đáng ngờ vẫn đang được xác nhận, vì vậy tổng giá trị của số tiền bị đánh cắp vẫn chưa được xác định, nhưng hiện được cho là khoảng 54 triệu USD.

Trong 104 ngày qua, Lazarus đã được xác nhận đã đánh cắp tiền từ AtomicWallet (100 triệu USD), CoinsPaid (37,3 triệu USD), Alphapo (60 triệu USD) và Stake.com (41 triệu USD) đã đánh cắp gần 240 triệu USD tài sản tiền điện tử.

Cuộc tấn công Lazarus gần đây

Như được hiển thị trong hình trên, quá trình cài đặt Phân tích Elliptic trên toàn Cơ quan đã xác nhận rằng một số tiền bị đánh cắp từ CoinEx đã được gửi tới một địa chỉ đã được nhóm Lazarus sử dụng để rửa tiền bị đánh cắp từ Stake.com, mặc dù trên một blockchain khác. Sau đó, số tiền này được kết nối với Ethereum, sử dụng một cây cầu được Lazarus sử dụng trước đó và sau đó được gửi trở lại một địa chỉ được cho là do tin tặc CoinEx kiểm soát. Ilipu đã quan sát thấy Lazarus trộn tiền từ các tin tặc khác nhau, gần đây nhất là khi số tiền bị đánh cắp từ Stake.com trùng với số tiền bị đánh cắp từ AtomicWallet. Những trường hợp tiền từ các tin tặc khác nhau được kết hợp lại được hiển thị bằng màu cam trong hình ảnh bên dưới.

Do hoạt động blockchain này và việc thiếu thông tin cho thấy vụ hack CoinEx được thực hiện bởi bất kỳ nhóm đe dọa nào khác, Ilipu đồng ý rằng Nhóm Lazarus nên bị nghi ngờ là ăn cắp tiền CoinEx.

Năm cuộc tấn công của Lazarus trong 104 ngày

20 Năm 2022, một số vụ hack cấp cao được cho là do Lazarus, bao gồm Cầu Horizon của Harmony và cầu Ronin của AxieInfinity, cả hai đều diễn ra vào nửa đầu năm ngoái. Từ đó đến tháng 6 năm nay, không có nhà mật mã lớn nào được công khai gán cho Lazarus. Do đó, nhiều vụ hack khác nhau xảy ra trong 104 ngày qua cho thấy hoạt động của các nhóm đe dọa Triều Tiên đang gia tăng.

Vào ngày 3 tháng 6 năm 2023, người dùng ví tiền điện tử phi tập trung không giám sát AtomicWallet đã mất hơn 100 triệu USD. Vào ngày 6 tháng 6 năm 2023, Illip cho rằng vụ hack là do Lazarus thực hiện sau khi xác định được nhiều yếu tố cho thấy thủ phạm là một nhóm đe dọa của Triều Tiên. Sự quy kết này sau đó đã được FBI xác nhận.

Vào ngày 22 tháng 7 năm 2023, Lazarus đã có được quyền truy cập vào ví nóng thuộc nền tảng thanh toán tiền điện tử CoinsPaid thông qua một cuộc tấn công kỹ thuật xã hội thành công. Quyền truy cập cho phép kẻ tấn công tạo yêu cầu ủy quyền để rút khoảng 37,3 triệu đô la tài sản tiền điện tử từ ví nóng của nền tảng. Vào ngày 26 tháng 7, CoinsPaid đã xuất bản một báo cáo khẳng định Lazarus chịu trách nhiệm về vụ tấn công. FBI sau đó đã xác nhận thông tin này.

Cùng ngày 22 tháng 7, Lazarus đã phát động một cuộc tấn công nổi bật khác, lần này nhằm vào nhà cung cấp thanh toán tiền điện tử tập trung Alphapo, đánh cắp 60 triệu đô la tài sản tiền điện tử. Kẻ tấn công có thể đã giành được quyền truy cập thông qua khóa riêng bị rò rỉ trước đó. Như đã đề cập ở trên, FBI sau đó đã quy kết vụ tấn công cho Lazarus.

Vào ngày 4 tháng 9 năm 2023, sòng bạc tiền điện tử trực tuyến Stake.com đã bị tấn công và khoảng 41 triệu đô la tiền ảo đã bị đánh cắp, có thể là do khóa riêng bị đánh cắp. FBI đã đưa ra thông cáo báo chí vào ngày 6 tháng 9 xác nhận rằng Nhóm Lazarus đứng sau vụ tấn công.

Cuối cùng, vào ngày 12 tháng 9 năm 2023, sàn giao dịch tiền điện tử tập trung CoinEx đã bị hack và 54 triệu đô la Mỹ đã bị đánh cắp. Như đã trình bày chi tiết ở trên, một số yếu tố chỉ ra rằng Lazarus phải chịu trách nhiệm về cuộc tấn công này.

Thay đổi chiến lược?

Phân tích hoạt động mới nhất của Lazarus cho thấy họ đã chuyển trọng tâm từ các dịch vụ phi tập trung sang các dịch vụ tập trung kể từ năm ngoái. Trong số năm vụ hack gần đây được thảo luận trước đây, có bốn nhà cung cấp dịch vụ tài sản ảo tập trung nhắm mục tiêu. Trước sự phát triển nhanh chóng của hệ sinh thái tài chính phi tập trung (DeFi), các sàn giao dịch tập trung là mục tiêu ưa thích của Lazarus trước năm 2020.

Có thể có một số lý do khiến Lazarus một lần nữa chuyển sự chú ý sang các dịch vụ tập trung.

Chú ý nhiều hơn đến bảo mật: Nghiên cứu trước đây của Yilipu về các sự cố hack DeFi vào năm 2022 cho thấy rằng một sự cố khai thác xảy ra bốn ngày một lần, với trung bình 32,6 triệu USD bị đánh cắp mỗi lần. Cầu nối chuỗi chéo là một hình thức dịch vụ tương đối mới vào đầu năm 2022, nhưng hiện đã trở thành một trong những loại giao thức DeFi bị hack nhiều nhất. Những xu hướng này có khả năng dẫn đến các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh được cải thiện, thu hẹp phạm vi cho tin tặc xác định và khai thác các lỗ hổng.

Dễ bị tấn công bởi kỹ thuật xã hội: Trong nhiều cuộc tấn công của hacker, phương thức tấn công được Nhóm Lazarus lựa chọn là kỹ thuật xã hội. Ví dụ: vụ hack RoninBridge trị giá 540 triệu USD là do đăng tuyển dụng giả mạo trên LinkedIn. Tuy nhiên, các dịch vụ phi tập trung thường có lực lượng lao động nhỏ hơn và, như tên gọi, được phân cấp ở các mức độ khác nhau. Do đó, việc giành được quyền truy cập độc hại cho nhà phát triển không nhất thiết giống như giành được quyền truy cập quản trị vào hợp đồng thông minh.

Đồng thời, các sàn giao dịch tập trung có thể sẽ có số lượng nhân viên lớn hơn, mở rộng phạm vi các mục tiêu có thể có. Họ cũng có thể hoạt động bằng cách sử dụng các hệ thống công nghệ thông tin nội bộ tập trung, tạo cơ hội lớn hơn cho phần mềm độc hại Lazarus xâm nhập vào các chức năng dự định trong hoạt động kinh doanh của họ.