Lazarus Group đang gây chú ý khi bị tình nghi là thủ phạm trong vụ hack lớn nhất lịch sử tiền số - trị giá hơn 1,4 tỉ USD - nhắm vào sàn giao dịch Bybit hôm 21.2. Nhóm thám tử Arkham Intelligence lần theo dấu vết và nhận định Lazarus Group là thủ phạm đứng sau vụ tấn công.
Cách hacker vét sạch 1,46 tỉ USD của Bybit
Theo đồng sáng lập kiêm Giám đốc điều hành của Bybit Ben Zhou, kẻ gian đã khai thác lỗ hổng trong giao diện người dùng và URL "bị che giấu", lừa những người ký ví vô tình chấp thuận một giao dịch độc hại.
Điều này cho phép hacker thay đổi logic hợp đồng thông minh và giành quyền kiểm soát ví lạnh Ethereum sau đó rút sạch tiền. Ví lạnh được dùng cho mục đích lưu trữ tiền mã hóa ngoại tuyến, do đó chúng an toàn hơn ví nóng - được kết nối với internet - dễ bị tin tặc tấn công hơn.
Logo Bybit trước những dòng code 01 biểu tượng của mã lập trình
ẢNH: KHƯƠNG NHA
Sau khi kiểm soát ví lạnh, hacker bắt đầu chuyển toàn bộ Ethereum vào tài khoản riêng. Chuyên gia Alice Liu nói với Forbes, số Ethereum bị đánh cắp đã được chuyển đến 53 tài khoản. Các nhóm kiểm toán blockchain đang tích cực giám sát khiến Lazarus Group khó có thể tẩu tán số tiền này. Tuy nhiên tin tặc vẫn có cách để rút tiền ra. Một số báo cáo mới nhất cho biết hacker đã bắt đầu chuyển tiền đến máy trộn tiền số eXch.
Trong ngành công nghiệp tiền mã hóa, máy trộn dùng để chỉ các nền tảng cho phép chia nhỏ các khoản tiền số sau đó ngẫu nhiên trộn đều vào ví của những người dùng khác trước khi được đổi thành tiền mặt, do đó việc truy xuất nguồn gốc trở nên khó khăn hơn. Đây là bước quan trọng để tin tặc cắt vết nguồn tiền bất hợp pháp.
Đến nay cả Bybit, Lazarus Group đều chưa lên tiếng về danh tính của kẻ gây ra vụ tấn công.
Sự nguy hiểm của Lazarus Group
Forbes cho rằng Lazarus Group là nhóm tội phạm mạng khét tiếng có liên hệ với Triều Tiên. Tổ chức này lần đầu được biết đến vào năm 2009.
Trong những cuộc tấn công lớn có vụ hack thành công hãng phim Sony Pictures năm 2014 để trả đũa việc công ty phát hành bộ phim The Interview. Năm 2016, Lazarus Group gây rúng động thế giới khi thực hiện cuộc tấn công mạng quy mô lớn nhắm vào ngân hàng Bangladesh đánh cắp 81 triệu USD. Một năm sau, nhóm tin tặc khét tiếng này tiếp tục chịu trách nhiệm cho cuộc tấn công toàn cầu WannaCry Ransowmare, ảnh hưởng đến 300.000 máy tính ở 150 quốc gia.
Theo công ty bảo mật Kaspersky, Lazarus Group không đơn thuần là tổ chức hacker mà là nhóm gián điệp mạng khét tiếng, thường thực hiện các cuộc tấn công tàn khốc nhắm vào các công ty sản xuất, phương tiện truyền thông, tổ chức tài chính.
Trong khi đó, các chuyên gia lưu ý Lazarus Group có nhiều nhóm với chất lượng khác nhau. Những nhóm kỹ năng cao thường được giao những nhiệm vụ quan trọng. Nhiều thông tin cho thấy các nhóm tin tặc khác trên khắp thế giới đang đầu quân hoặc lợi dụng danh tiếng của Lazarus Group để thực hiện các vụ hack.
Web3 trở thành con mồi mới
Hacker của Lazarus Group thường tự phát triển các công cụ tấn công và phần mềm độc hại. Họ cũng dùng nhiều kỹ thuật tấn công mới, hoạt động có phương pháp, lớp lang. Tin tặc thường biết cách ngụy trang trước những công cụ phát hiện phần mềm độc hại, bám rễ trong hệ thống nhiều tháng trước khi bị phát hiện.
Công ty nghiên cứu an ninh mạng SecurityScorecard cho biết, thời gian gần đây, Lazarus Group đang nhắm mục tiêu vào các nhà phát triển phần mềm, đặc biệt là những người trong ngành Web3, tiền mã hóa. Họ tấn công con mồi bằng phần mềm độc hại đánh cắp dữ liệu, lấy thông tin đăng nhập, mã xác thực và các dữ liệu có giá trị khác.
Một trong những cách thức được nhóm này yêu thích là lấy cắp nhiều công cụ mã nguồn mở khác nhau, sau đó cài cắm thêm phần mềm độc hại rồi đẩy ngược chúng lên các kho lưu trữ như Gitlab.
Gần đây, Lazarus Group phát động một chiến dịch gọi là "DreamJob" (công việc trong mơ) để nhắm đến các nhà phát triển phần mềm nhẹ dạ. Tổ chức này thường bắt đầu bằng những lời mời làm việc hấp dẫn. Trong quá trình phỏng vấn, kẻ gian sẽ lừa ứng viên tải xuống và chạy phần mềm độc hại. Từ đó tiếp tục truy cập vào kho dữ liệu lớn hơn của công ty lập trình viên đang làm để thực hiện các vụ tấn công quy mô lớn.
Không tính vụ hack mới nhất nhắm vào Bybit, công ty nghiên cứu blockchain Chainalysis ước tính trong năm 2024, Lazarus Group đã đánh cắp 1,34 tỉ USD trong tổng cộng 47 phi vụ. Trước đó, mạng blockchain Ronin Network của Việt Nam cũng là nạn nhân của Lazarus Group vào năm 2022, thiệt hại lên đến 615 triệu USD.
Bình luận (0)