Tội phạm mạng của Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) tự khẳng định mình là một mối đe dọa dai dẳng tiên tiến đối với ngành công nghiệp tiền điện tử vào năm 2021, Chainalysis báo cáo.
Theo nền tảng dữ liệu dựa trên blockchain hỗ trợ chính phủ và các khu vực tư nhân trong việc phát hiện và ngăn chặn việc sử dụng bất hợp pháp tiền điện tử, các tin tặc Triều Tiên đã đánh cắp số tiền điện tử trị giá 400 triệu đô la vào năm ngoái, trong khi tổng số tiền chưa được kiểm tra được dự trữ ở mức cao nhất mọi thời đại (ATH).
“Nhóm Lazarus”
Nhắm mục tiêu chủ yếu vào các công ty đầu tư và các sàn giao dịch tập trung, tin tặc Triều Tiên đã thực hiện ít nhất bảy cuộc tấn công vào các nền tảng tiền điện tử – khai thác gần 400 triệu đô la tiền điện tử vào năm 2021.
Trong khi, so với năm 2020, số lượng cuộc tấn công đã tăng từ bốn lên bảy, giá trị trích xuất tăng 40%.
Để bòn rút tiền từ ví “nóng” của các tổ chức này vào các địa chỉ do CHDCND Triều Tiên kiểm soát, tội phạm mạng đã sử dụng các chiêu trò lừa đảo, khai thác mã, phần mềm độc hại và kỹ thuật xã hội tiên tiến.
Sau khi Triều Tiên giành được quyền giám sát số tiền điện tử bị đánh cắp, họ đã sử dụng các chiến thuật rửa tiền cẩn thận để che đậy và rút tiền.
“Các chiến thuật và kỹ thuật phức tạp này đã khiến nhiều nhà nghiên cứu bảo mật xác định đặc điểm của các tác nhân mạng đối với CHDCND Triều Tiên là các mối đe dọa dai dẳng tiên tiến (APT)”, báo cáo lưu ý và thêm điều này đặc biệt đúng với APT 38, hay còn gọi là “Nhóm Lazarus,” do CHDCND Triều Tiên dẫn đầu cơ quan tình báo chính, Tổng cục Trinh sát được Hoa Kỳ và Liên hợp quốc công nhận
Từ năm 2018 trở đi, Lazarus Group đã đánh cắp và rửa một lượng lớn tiền điện tử mỗi năm – thường vượt quá 200 triệu đô la.
“Các vụ hack cá nhân thành công nhất, một vụ trên KuCoin và một vụ khác trên sàn giao dịch tiền điện tử không tên tuổi, mỗi vụ thu về hơn 250 triệu đô la chỉ riêng”, đọc báo cáo, lưu ý rằng, theo hội đồng an ninh Liên Hợp Quốc, doanh thu từ các vụ hack hỗ trợ WMD của Triều Tiên và các chương trình tên lửa đạn đạo.
Quy trình giặt
Vào năm 2021, về giá trị đô la, Ethereum lần đầu tiên chiếm phần lớn tiền điện tử bị CHDCND Triều Tiên đánh cắp, trong khi Bitcoin chỉ chiếm 20% và mã thông báo ERC-20 và altcoin chiếm 22% số tiền.
Theo Chainalysis, ngày càng có nhiều loại tiền điện tử bị đánh cắp dẫn đến việc rửa tiền điện tử của CHDCND Triều Tiên ngày càng phức tạp, theo Chainalysis, quy trình này đã chia nhỏ quy trình phức tạp thành nhiều bước, quan sát thấy sự gia tăng sử dụng ‘máy trộn’ giữa các tin tặc Triều Tiên vào năm 2021.
Các công cụ phần mềm này cho phép tin tặc thu thập và xáo trộn tiền điện tử từ hàng nghìn địa chỉ và làm phức tạp hơn rất nhiều việc theo dõi các giao dịch.
Chainalysis giải thích các chiến thuật hiện đang được sử dụng dựa trên một trong những cuộc tấn công của những năm trước – dẫn đến 91,35 triệu đô la tiền điện tử được rửa.
Vào tháng 8, Liquid.com đã báo cáo rằng một người dùng trái phép đã có được quyền truy cập vào một số ví do sàn giao dịch tiền điện tử quản lý. Trong cuộc tấn công, 67 mã thông báo ERC-20 khác nhau, cùng với một lượng lớn Ethereum và Bitcoin đã được chuyển từ các ví tiền điện tử này đến các địa chỉ được kiểm soát bởi một bên làm việc thay mặt cho CHDCND Triều Tiên.
Trong một quy trình rửa tiền thường được sử dụng, các mã thông báo ERC-20 và các altcoin được hoán đổi cho Ethereum tại các DEX.
Trong bước tiếp theo, Ethereum được trộn và hoán đổi cho Bitcoin trên các DEX và CEX.
Cuối cùng, Bitcoin được trộn và hợp nhất vào các ví mới – sau đó nó được gửi đến các địa chỉ gửi tiền tại các sàn giao dịch tiền điện tử có trụ sở tại Châu Á.
Theo báo cáo, hơn 65% số tiền bị đánh cắp của CHDCND Triều Tiên đã được rửa thông qua máy trộn vào năm 2021, tăng từ 42% vào năm 2020.
Chainalysis mô tả việc CHDCND Triều Tiên sử dụng nhiều máy trộn là một “nỗ lực có tính toán để che giấu nguồn gốc của các loại tiền điện tử kém cỏi của họ trong khi bắt đầu lấn sân sang tiền pháp định”.
Trong khi đó, tin tặc CHDCND Triều Tiên sử dụng các nền tảng DeFi như DEX để “cung cấp tính thanh khoản cho một loạt các mã thông báo ERC-20 và các loại tiền thay thế có thể không được chuyển đổi thành tiền mặt”.
Việc hoán đổi các loại tiền điện tử này cho Ethereum hoặc Bitcoin không chỉ khiến chúng trở nên thanh khoản hơn mà còn mở ra nhiều lựa chọn hơn về các bộ trộn và trao đổi.
Theo Chainalysis, các nền tảng DeFi thường không thu thập thông tin khách hàng của bạn (KYC), điều này cho phép tin tặc sử dụng dịch vụ của họ mà không bị đóng băng tài sản hoặc danh tính của họ bị lộ, theo Chainalysis.
Dự trữ quỹ không được hiển thị
“Chainalysis đã xác định được 170 triệu đô la trong số dư hiện tại – đại diện cho số tiền bị đánh cắp của 49 vụ hack riêng biệt kéo dài từ năm 2017 đến năm 2021 – do Triều Tiên kiểm soát nhưng vẫn chưa được rửa thông qua các dịch vụ,” đọc báo cáo.
Báo cáo tiết lộ số dư khổng lồ chưa được hiển thị lên tới 6 năm tuổi – khoảng 35 triệu đô la trong tổng số tài sản nắm giữ của CHDCND Triều Tiên đến từ các cuộc tấn công vào năm 2020 và 2021, trong khi hơn 55 triệu đô la đến từ các cuộc tấn công được thực hiện vào năm 2016.
“Không rõ tại sao các tin tặc vẫn tiếp tục sử dụng những khoản tiền này, nhưng có thể là họ đang hy vọng lợi ích của cơ quan thực thi pháp luật trong các vụ việc sẽ giảm xuống, vì vậy họ có thể rút tiền mà không bị theo dõi,” đọc báo cáo, nói thêm rằng bất cứ điều gì lý do “khoảng thời gian mà CHDCND Triều Tiên sẵn sàng giữ các khoản tiền này đang sáng tỏ bởi vì nó gợi ý một kế hoạch cẩn thận, không phải là một kế hoạch tuyệt vọng và vội vàng.”