Tổ chức hacker Triều Tiên đã đánh cắp 3 tỷ USD tài sản tiền điện tử trong 6 năm qua

Gần đây, một báo cáo an ninh mạng tiết lộ rằng trong 6 năm qua, một tổ chức hacker có liên quan đến Triều Tiên đã đánh cắp tài sản tiền điện tử trị giá 3 tỷ USD.

Báo cáo chỉ ra rằng, chỉ trong năm 2022, tổ chức hacker này đã cướp đoạt 1,7 tỷ đô la tài sản tiền điện tử, rất có thể được sử dụng để tài trợ cho các kế hoạch của Triều Tiên. Một công ty phân tích dữ liệu blockchain khác cho biết, trong số đó, 1,1 tỷ đô la đã bị đánh cắp từ nền tảng tài chính phi tập trung (DeFi). Bộ An ninh Nội địa Hoa Kỳ cũng đã nhấn mạnh sự thâm nhập của tổ chức hacker này vào các giao thức DeFi trong báo cáo phát hành vào tháng 9 năm ngoái.

Tổ chức hacker này nổi tiếng với việc đánh cắp tiền. Năm 2016, họ đã xâm nhập vào Ngân hàng Trung ương Bangladesh và đánh cắp 81 triệu USD. Năm 2018, họ lần lượt tấn công một sàn giao dịch tài sản tiền điện tử ở Nhật Bản và Ngân hàng Trung ương Malaysia, đánh cắp lần lượt 530 triệu USD và 390 triệu USD.

Kể từ năm 2017, Triều Tiên đã coi ngành công nghiệp mã hóa là mục tiêu tấn công mạng chính. Trước đó, Triều Tiên đã chiếm đoạt hệ thống tài chính quốc tế (SWIFT) để đánh cắp tài sản, gây sự chú ý cao từ cộng đồng quốc tế. Các tổ chức tài chính sau đó đã tăng cường phòng thủ an ninh mạng.

Sau khi Tài sản tiền điện tử nổi lên vào năm 2017, Hacker Triều Tiên đã chuyển mục tiêu từ tài chính truyền thống sang lĩnh vực mới nổi này, ban đầu nhắm vào thị trường Hàn Quốc, sau đó mở rộng ra toàn cầu.

Vào năm 2022, các hacker của Triều Tiên bị cáo buộc đã đánh cắp 1,7 tỷ đô la Tài sản tiền điện tử, tương đương khoảng 5% tổng sản phẩm quốc nội của Triều Tiên, hoặc 45% chi tiêu quân sự của họ. Con số này gần gấp 10 lần giá trị xuất khẩu của Triều Tiên vào năm 2021.

Phương thức phạm tội của hacker Triều Tiên trong lĩnh vực mã hóa thường tương tự như tội phạm mạng truyền thống sử dụng các công cụ trộn coin, giao dịch xuyên chuỗi và giao dịch ngoài sàn. Nhưng do có sự hỗ trợ của nhà nước, quy mô của chúng vượt xa các băng nhóm tội phạm thông thường. Dữ liệu cho thấy, vào năm 2022, khoảng 44% tài sản tiền điện tử bị đánh cắp có liên quan đến hacker Triều Tiên.

Mục tiêu tấn công của hacker Triều Tiên không chỉ bao gồm các sàn giao dịch mà còn liên quan đến người dùng cá nhân, công ty đầu tư mạo hiểm và các công nghệ và giao thức khác. Tất cả các tổ chức và cá nhân trong ngành đều có thể trở thành mục tiêu tiềm năng.

Các tổ chức tài chính truyền thống cũng nên theo dõi chặt chẽ hoạt động của hacker Bắc Triều Tiên. Tài sản tiền điện tử bị đánh cắp sau khi được chuyển đổi thành tiền pháp định sẽ được chuyển qua nhiều tài khoản khác nhau để che giấu nguồn gốc. Thông thường, chúng sẽ sử dụng thông tin danh tính bị đánh cắp và ảnh đã được chỉnh sửa để vượt qua các quy trình chống rửa tiền và xác minh danh tính. Bất kỳ thông tin cá nhân nào bị kẻ tấn công đánh cắp đều có thể được sử dụng để đăng ký tài khoản, hoàn thành quy trình rửa tiền.

Do các cuộc tấn công của hacker Bắc Triều Tiên thường bắt nguồn từ kỹ thuật xã hội và lừa đảo trực tuyến, các tổ chức nên đào tạo nhân viên nhận diện các hoạt động như vậy và thực hiện xác thực đa yếu tố mạnh mẽ, chẳng hạn như xác thực không mật khẩu tuân thủ tiêu chuẩn FIDO2.

Triều Tiên sẽ tiếp tục coi việc đánh cắp Tài sản tiền điện tử là nguồn thu nhập chính để tài trợ cho các dự án quân sự và vũ khí. Mặc dù vẫn chưa rõ số tiền bị đánh cắp được sử dụng trực tiếp cho việc phóng tên lửa đạn đạo là bao nhiêu, nhưng số lượng Tài sản tiền điện tử bị đánh cắp và số lần phóng tên lửa đã tăng đáng kể trong những năm gần đây. Nếu không có các quy định nghiêm ngặt hơn, yêu cầu an ninh mạng và đầu tư, Triều Tiên rất có thể sẽ tiếp tục xem ngành Tài sản tiền điện tử như một nguồn thu nhập quốc gia bổ sung.

Vào tháng 7 năm 2023, một công ty phần mềm ở Mỹ đã thông báo bị xâm nhập bởi một hacker đến từ Bắc Triều Tiên. Sau đó, các nhà nghiên cứu chỉ ra rằng những kẻ tấn công có thể là một tổ chức hacker Bắc Triều Tiên chuyên về Tài sản tiền điện tử. Đến tháng 8 năm 2023, Cục Điều tra Liên bang Mỹ đã thông báo rằng tổ chức hacker Bắc Triều Tiên liên quan đến nhiều vụ tấn công, đã đánh cắp 197 triệu USD Tài sản tiền điện tử. Số tiền này giúp chính phủ Bắc Triều Tiên có thể tiếp tục hoạt động dưới sự trừng phạt nghiêm ngặt và tài trợ cho tới 50% chi phí chương trình tên lửa đạn đạo.

Năm 2017, hacker Bắc Triều Tiên đã xâm nhập vào nhiều sàn giao dịch Hàn Quốc, đánh cắp khoảng 82,7 triệu USD Tài sản tiền điện tử. Cùng năm, có báo cáo cho rằng sau khi thông tin cá nhân của người dùng một sàn giao dịch Hàn Quốc bị rò rỉ, người dùng Tài sản tiền điện tử cũng trở thành mục tiêu tấn công.

Ngoài việc đánh cắp, các hacker Triều Tiên còn bắt đầu tiến hành khai thác Tài sản tiền điện tử. Vào tháng 4 năm 2017, các nhà nghiên cứu phát hiện một phần mềm khai thác Monero được cài đặt trong cuộc tấn công của hacker Triều Tiên. Vào tháng 1 năm 2018, có nghiên cứu cho rằng một tổ chức của Triều Tiên đã xâm nhập vào máy chủ của một công ty để khai thác, thu được khoảng 70 đồng Monero trị giá 25.000 đô la vào thời điểm đó.

Năm 2020, các nhà nghiên cứu an ninh liên tục báo cáo về các cuộc tấn công mới của hacker Triều Tiên nhằm vào ngành tài sản tiền điện tử toàn cầu, và sử dụng LinkedIn như một cách để tiếp cận mục tiêu ban đầu.

Năm 2021 là năm mà Triều Tiên hoạt động tích cực nhất trong ngành Tài sản tiền điện tử, xâm nhập ít nhất 7 tổ chức và đánh cắp 400 triệu đô la. Ngoài ra, hacker Triều Tiên bắt đầu nhắm đến các loại coin và NFT.

Vào tháng 1 năm 2022, các nhà nghiên cứu xác nhận rằng vẫn còn 170 triệu đô la Tài sản tiền điện tử bị đánh cắp từ năm 2017 chưa được quy đổi. Các cuộc tấn công đáng chú ý của Hacker Triều Tiên trong năm 2022 bao gồm nhiều cầu nối chuỗi chéo, gây ra tổn thất lớn.

Vào tháng 10 năm 2022, cảnh sát Nhật Bản đã thông báo rằng các hacker Triều Tiên đã tấn công các công ty tài sản tiền điện tử của Nhật Bản, một số công ty đã bị xâm nhập thành công và bị đánh cắp tiền.

Từ tháng 1 đến tháng 8 năm 2023, các hacker Triều Tiên được cho là đã đánh cắp 200 triệu USD từ nhiều nền tảng. Trong một cuộc tấn công vào tháng 7 năm 2023, các hacker có thể đã giả mạo nhà tuyển dụng để gửi email và tin nhắn đến nhân viên của công ty mục tiêu, mất 6 tháng để cố gắng lấy quyền truy cập mạng.

Để ngăn chặn các cuộc tấn công của hacker Bắc Triều Tiên, đề nghị thực hiện các biện pháp sau:

• Bật xác thực đa yếu tố, sử dụng thiết bị phần cứng để tăng cường bảo mật
• Bật tất cả các cài đặt xác thực đa yếu tố có sẵn cho tài khoản sàn giao dịch
• Xác minh tính xác thực của tài khoản mạng xã hội
• Cẩn thận với bất kỳ đợt airdrop hoặc hoạt động quảng bá miễn phí nào
• Kiểm tra nguồn chính thức để xác nhận tính xác thực của các hoạt động như airdrop.
• Kiểm tra URL và quan sát việc chuyển hướng, đảm bảo truy cập vào trang web chính thức
• Giữ sự cảnh giác cao độ khi giao dịch, sử dụng ví phần cứng
• Chỉ sử dụng các ứng dụng phi tập trung đáng tin cậy, xác minh địa chỉ hợp đồng thông minh
• Kiểm tra kỹ lưỡng địa chỉ trang web chính thức để tránh hàng giả
• Giữ sự hoài nghi đối với các điều kiện có vẻ quá ưu đãi