Tổ chức hacker Triều Tiên đã đánh cắp 3 tỷ USD tài sản tiền điện tử trong 6 năm

Gần đây, một báo cáo được phát hành bởi cơ quan an ninh mạng đã tiết lộ một sự thật gây sốc: một tổ chức hacker có liên quan đến Triều Tiên đã thành công trong việc đánh cắp tới 3 tỷ đô la Tài sản tiền điện tử trong 6 năm qua.

Theo báo cáo, chỉ trong năm 2022, tổ chức này đã cướp 1,7 tỷ đô la Tài sản tiền điện tử, và số tiền này rất có thể đã được sử dụng để hỗ trợ các kế hoạch của Triều Tiên. Một công ty phân tích dữ liệu blockchain đã chỉ ra rằng khoảng 1,1 tỷ đô la đã bị đánh cắp từ các nền tảng tài chính phi tập trung (DeFi). Bộ An ninh Nội địa Hoa Kỳ cũng đã nhấn mạnh trong báo cáo phát hành vào tháng 9 năm ngoái về các cuộc tấn công thường xuyên của tổ chức này vào các giao thức DeFi.

Tổ chức hacker này nổi tiếng với việc đánh cắp tài sản. Năm 2016, họ đã xâm nhập vào Ngân hàng Trung ương Bangladesh, đánh cắp 81 triệu đô la. Năm 2018, họ lại tiến hành tấn công vào một sàn giao dịch tài sản tiền điện tử ở Nhật Bản, lấy đi 530 triệu đô la, và đánh cắp 390 triệu đô la từ Ngân hàng Trung ương Malaysia.

Từ năm 2017, Triều Tiên đã coi ngành công nghiệp mã hóa là mục tiêu chính của các cuộc tấn công mạng. Trước đó, họ đã từng đánh cắp tiền từ các tổ chức tài chính bằng cách chiếm đoạt mạng SWIFT. Hành vi này đã thu hút sự chú ý cao độ từ các tổ chức quốc tế, thúc đẩy các tổ chức tài chính tăng cường đầu tư vào phòng thủ an ninh mạng.

Năm 2017, với sự trỗi dậy của tài sản tiền điện tử, các hacker Triều Tiên đã chuyển mục tiêu từ tài chính truyền thống sang loại tài sản kỹ thuật số mới nổi này. Họ ban đầu nhắm vào thị trường tiền điện tử Hàn Quốc, sau đó mở rộng ảnh hưởng ra toàn cầu.

Năm 2022, các Hacker Bắc Triều Tiên bị cáo buộc đã đánh cắp khoảng 1,7 tỷ USD tài sản tiền điện tử, con số này tương đương khoảng 5% quy mô kinh tế trong nước của Bắc Triều Tiên, hoặc 45% ngân sách quân sự của họ. Con số này gần gấp 10 lần tổng kim ngạch xuất khẩu của Bắc Triều Tiên vào năm 2021.

Phương pháp gây án của hacker Triều Tiên trong ngành mã hóa thường tương tự như các phương pháp tội phạm mạng truyền thống như sử dụng trình trộn mã hóa, giao dịch chuỗi chéo và giao dịch ngoại tệ phi tập trung. Tuy nhiên, nhờ có sự hỗ trợ của nhà nước, họ có thể mở rộng hành vi đánh cắp đến quy mô mà các băng nhóm tội phạm mạng truyền thống không thể với tới.

Theo dữ liệu theo dõi, khoảng 44% tài sản tiền điện tử bị đánh cắp trong năm 2022 liên quan đến hành vi của hacker Bắc Triều Tiên.

Mục tiêu tấn công của hacker Triều Tiên không chỉ giới hạn ở các sàn giao dịch, mà còn bao gồm người dùng cá nhân, các công ty đầu tư mạo hiểm cũng như các công nghệ và giao thức khác. Tất cả các tổ chức và cá nhân hoạt động trong ngành mã hóa đều có thể trở thành mục tiêu tiềm năng, và các hành động này cung cấp cho chính phủ Triều Tiên một kênh để duy trì hoạt động và huy động vốn.

Người làm trong ngành mã hóa, nhà điều hành sàn giao dịch và doanh nhân nên nhận thức được rằng họ có thể trở thành mục tiêu của hacker. Các tổ chức tài chính truyền thống cũng nên theo dõi chặt chẽ hoạt động của các tổ chức hacker Bắc Triều Tiên. Một khi tài sản tiền điện tử bị đánh cắp và chuyển đổi thành tiền pháp định, tiền sẽ được chuyển giữa các tài khoản khác nhau để che giấu nguồn gốc. Thông thường, danh tính bị đánh cắp và ảnh đã chỉnh sửa được sử dụng để vượt qua quy trình chống rửa tiền và xác minh danh tính khách hàng.

Do các cuộc tấn công của tổ chức hacker Bắc Triều Tiên thường bắt đầu từ kỹ thuật kỹ thuật xã hội và hoạt động lừa đảo trực tuyến, các tổ chức nên đào tạo nhân viên theo dõi các hoạt động như vậy và thực hiện xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không mật khẩu tuân thủ tiêu chuẩn FIDO2.

Triều Tiên sẽ tiếp tục coi việc đánh cắp Tài sản tiền điện tử là nguồn thu chính để tài trợ cho các dự án quân sự và vũ khí của mình. Mặc dù hiện tại chưa rõ có bao nhiêu Tài sản tiền điện tử bị đánh cắp được sử dụng trực tiếp để tài trợ cho các vụ phóng tên lửa, nhưng số lượng Tài sản tiền điện tử bị đánh cắp và số vụ phóng tên lửa đã tăng đáng kể trong những năm gần đây. Nếu không có các quy định nghiêm ngặt hơn, yêu cầu an ninh mạng và đầu tư vào an ninh mạng cho các công ty Tài sản tiền điện tử, Triều Tiên gần như chắc chắn sẽ tiếp tục khai thác ngành Tài sản tiền điện tử như một nguồn thu nhập bổ sung cho nhà nước.

Vào tháng 7 năm 2023, một công ty phần mềm của Mỹ đã thông báo rằng một hacker được hỗ trợ bởi Triều Tiên đã xâm nhập vào mạng của họ. Các nhà nghiên cứu sau đó đã phát hành báo cáo chỉ ra rằng nhóm chịu trách nhiệm cho cuộc tấn công này rất có thể là một tổ chức hacker Triều Tiên chuyên về tài sản tiền điện tử. Đến tháng 8 năm 2023, Cục Điều tra Liên bang Mỹ đã phát đi thông báo rằng tổ chức hacker Triều Tiên liên quan đến nhiều vụ tấn công, đã đánh cắp 197 triệu đô la tài sản tiền điện tử. Số tiền này đã giúp chính phủ Triều Tiên có thể tiếp tục hoạt động dưới các lệnh trừng phạt quốc tế nghiêm ngặt, và tài trợ cho chi phí của chương trình tên lửa đạn đạo lên đến 50%.

Năm 2017, hacker Triều Tiên đã xâm nhập vào nhiều sàn giao dịch Hàn Quốc, đánh cắp tài sản tiền điện tử trị giá khoảng 82,7 triệu USD. Cùng năm, vào tháng 7, sau khi thông tin cá nhân của người dùng một sàn giao dịch bị rò rỉ, người dùng tài sản tiền điện tử cũng trở thành mục tiêu của các cuộc tấn công.

Ngoài việc đánh cắp Tài sản tiền điện tử, các Hacker Bắc Triều Tiên còn đã học cách khai thác Tài sản tiền điện tử. Vào tháng 4 năm 2017, các nhà nghiên cứu phát hiện phần mềm khai thác Monero được cài đặt trong cuộc xâm nhập của tổ chức Hacker. Vào tháng 1 năm 2018, các nhà nghiên cứu Hàn Quốc thông báo rằng một tổ chức Bắc Triều Tiên đã xâm nhập vào máy chủ của một công ty vào mùa hè năm 2017 và đã khai thác khoảng 70 đồng Monero, khi đó trị giá khoảng 25,000 đô la.

Năm 2020, các nhà nghiên cứu an ninh tiếp tục báo cáo về các cuộc tấn công mạng mới của hacker Triều Tiên nhắm vào ngành Tài sản tiền điện tử. Tổ chức hacker Triều Tiên đã tấn công các sàn giao dịch Tài sản tiền điện tử của nhiều quốc gia và sử dụng LinkedIn như một cách để tiếp cận mục tiêu ban đầu.

Năm 2021 là năm mà Triều Tiên hoạt động tích cực nhất trong ngành Tài sản tiền điện tử, họ đã xâm nhập vào ít nhất 7 tổ chức Tài sản tiền điện tử và đánh cắp tài sản Tài sản tiền điện tử trị giá 400 triệu USD. Ngoài ra, hacker Triều Tiên bắt đầu nhắm đến các đồng coin, bao gồm các token ERC-20 và NFTs.

Vào tháng 1 năm 2022, các nhà nghiên cứu xác nhận rằng vẫn còn 170 triệu USD tài sản tiền điện tử chưa được thanh toán từ năm 2017.

Năm 2022, các cuộc tấn công đáng chú ý của tổ chức hacker Triều Tiên bao gồm nhiều cầu nối chuỗi chéo, tổng thiệt hại vượt quá 900 triệu USD. Các cuộc tấn công này đặc biệt nhắm vào các cầu nối chuỗi chéo kết nối hai chuỗi khối, cho phép người dùng gửi một tài sản tiền điện tử từ một chuỗi khối sang chuỗi khối khác chứa tài sản tiền điện tử khác.

Vào tháng 10 năm 2022, Cảnh sát Nhật Bản đã công bố rằng các tổ chức hacker của Triều Tiên đã tấn công các công ty trong ngành Tài sản tiền điện tử hoạt động tại Nhật Bản. Mặc dù không cung cấp chi tiết cụ thể, nhưng tuyên bố cho biết một số công ty đã bị xâm nhập thành công và các Tài sản tiền điện tử đã bị đánh cắp.

Từ tháng 1 đến tháng 8 năm 2023, một tổ chức hacker của Triều Tiên được cho là đã đánh cắp 200 triệu USD từ nhiều nền tảng khác nhau. Trong một cuộc tấn công, hacker có thể đã giả mạo nhà tuyển dụng, chuyên nhắm vào nhân viên của công ty mục tiêu bằng cách gửi email tuyển dụng và tin nhắn trên LinkedIn. Công ty cho biết, hacker đã mất 6 tháng để cố gắng có được quyền truy cập vào mạng của họ.

Để phòng ngừa các cuộc tấn công mạng từ Triều Tiên nhằm vào người dùng và công ty Tài sản tiền điện tử, các chuyên gia đã đưa ra những gợi ý sau:

1. Bật xác thực nhiều yếu tố (MFA): Sử dụng thiết bị phần cứng, như YubiKey, cho ví và giao dịch để tăng cường tính bảo mật.

2. Bật bất kỳ cài đặt MFA nào có sẵn cho sàn giao dịch tài sản tiền điện tử để tối đa hóa việc bảo vệ tài khoản khỏi đăng nhập trái phép hoặc đánh cắp.

3. Xác minh tài khoản mạng xã hội đã được xác thực, kiểm tra xem tên người dùng có chứa ký tự đặc biệt hoặc số thay thế cho chữ cái hay không.

4. Đảm bảo rằng giao dịch được yêu cầu là hợp pháp, xác minh bất kỳ airdrop hoặc các hoạt động khuyến mãi tài sản tiền điện tử hoặc NFT miễn phí nào.

5. Khi nhận được airdrop hoặc nội dung khác từ các nền tảng lớn, luôn kiểm tra nguồn chính thức.

6. Luôn kiểm tra URL và quan sát các chuyển hướng sau khi nhấp vào liên kết, đảm bảo rằng trang web là trang web chính thức chứ không phải là trang web lừa đảo.

Đối với lừa đảo trên mạng xã hội, còn có các mẹo phòng ngừa sau:

1. Trong khi thực hiện giao dịch Tài sản tiền điện tử, hãy đặc biệt cẩn thận. Tài sản tiền điện tử không có bất kỳ sự đảm bảo nào từ tổ chức để giảm thiểu "lừa đảo" "truyền thống".

2. Sử dụng ví cứng. Ví cứng có thể an toàn hơn so với "ví nóng" luôn kết nối với internet.

3. Chỉ sử dụng các ứng dụng phi tập trung (dApps) đáng tin cậy và xác minh địa chỉ hợp đồng thông minh để xác nhận tính xác thực và toàn vẹn của nó.

4. Kiểm tra lại địa chỉ trang web chính thức để tránh việc giả mạo. Một số trang lừa đảo mã hóa có thể dựa vào lỗi chính tả tên miền để lừa người dùng.

5. Đối với những ưu đãi có vẻ quá tốt đến mức khó tin, hãy tỏ ra nghi ngờ. Các trang lừa đảo mã hóa sẽ thu hút nạn nhân bằng tỷ lệ giao dịch tiền điện tử thuận lợi hoặc phí Gas thấp cho các tương tác đúc NFT.