
Phân tích nhóm trộm tiền mã hóa táo bạo nhất lịch sử, phân tích rửa tiền của nhóm hacker Lazarus Group
Tuyển chọn TechFlowTuyển chọn TechFlow

Phân tích nhóm trộm tiền mã hóa táo bạo nhất lịch sử, phân tích rửa tiền của nhóm hacker Lazarus Group
Bài viết này sẽ tập trung phân tích một số vụ tấn công điển hình, vạch rõ cách thức nhóm Lazarus đã thực hiện thành công các cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và kỹ thuật phức tạp.
Tác giả: Beosin
Trước đó, một báo cáo mật của Liên Hợp Quốc do Reuters thu thập cho thấy nhóm tin tặc Triều Tiên Lazarus Group đã rửa tiền 147,5 triệu USD thông qua nền tảng tiền mã hóa Tornado Cash vào tháng 3 năm nay, sau khi đánh cắp tài sản từ một sàn giao dịch tiền mã hóa vào năm ngoái.
Các thanh tra trong một tài liệu trước đó gửi đến Ủy ban trừng phạt Hội đồng Bảo an Liên Hợp Quốc cho biết họ đang điều tra 97 vụ tấn công mạng nghi ngờ do các tin tặc Triều Tiên thực hiện nhằm vào các công ty tiền mã hóa trong giai đoạn từ năm 2017 đến 2024, với tổng giá trị khoảng 3,6 tỷ USD. Trong số này có một vụ tấn công cuối năm ngoái khiến 147,5 triệu USD bị đánh cắp từ sàn giao dịch HTX, sau đó được rửa tiền vào tháng 3 năm nay.
Mỹ đã áp lệnh trừng phạt đối với Tornado Cash vào năm 2022, và vào năm 2023, hai nhà đồng sáng lập của nền tảng này bị buộc tội hỗ trợ rửa hơn 1 tỷ USD, bao gồm cả việc giúp đỡ tổ chức tội phạm mạng Lazarus Group liên quan đến Triều Tiên.
Theo điều tra của thám tử tiền mã hóa ZachXBT, Lazarus Group đã chuyển đổi thành công 200 triệu USD tiền mã hóa sang tiền pháp định trong giai đoạn từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Trong lĩnh vực an ninh mạng, Lazarus Group từ lâu đã bị cáo buộc tiến hành hàng loạt cuộc tấn công quy mô lớn và tội phạm tài chính. Mục tiêu của chúng không chỉ giới hạn ở một ngành hay khu vực cụ thể mà lan rộng toàn cầu, từ hệ thống ngân hàng đến các sàn giao dịch tiền mã hóa, từ cơ quan chính phủ đến doanh nghiệp tư nhân. Dưới đây, chúng ta sẽ phân tích kỹ lưỡng một số vụ tấn công điển hình để làm rõ cách thức Lazarus Group sử dụng chiến lược và kỹ thuật phức tạp nhằm thực hiện thành công những cuộc tấn công đáng kinh ngạc này.
Lazarus Group khai thác kỹ thuật xã hội và tấn công lừa đảo (phishing)
Vụ việc này được đưa ra từ các phương tiện truyền thông châu Âu, theo đó Lazarus từng nhắm mục tiêu vào các công ty quân sự và hàng không vũ trụ tại châu Âu và Trung Đông, đăng quảng cáo tuyển dụng trên các nền tảng như LinkedIn để lừa nhân viên, yêu cầu ứng viên tải xuống file PDF chứa mã thực thi độc hại, từ đó phát động các cuộc tấn công phishing.
Cả kỹ thuật xã hội và tấn công lừa đảo đều cố gắng lợi dụng tâm lý con người để dụ nạn nhân giảm cảnh giác, thực hiện các hành vi như nhấp vào liên kết hoặc tải xuống tệp tin, dẫn đến rủi ro mất an toàn thông tin.
Phần mềm độc hại của chúng cho phép kẻ tấn công tìm kiếm lỗ hổng trong hệ thống nạn nhân và đánh cắp thông tin nhạy cảm.
Lazarus cũng sử dụng phương pháp tương tự trong chiến dịch kéo dài sáu tháng nhắm vào nhà cung cấp dịch vụ thanh toán tiền mã hóa CoinsPaid, dẫn đến việc đánh cắp 37 triệu USD từ CoinsPaid.
Trong suốt chiến dịch, nhóm này đã gửi cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công kỹ thuật như từ chối dịch vụ phân tán (DDoS), đồng thời thử nhiều mật khẩu khả dĩ để thực hiện bẻ khóa bằng phương pháp vũ lực (brute force).
Thực hiện các vụ tấn công CoinBerry, Unibright, v.v.
Ngày 24 tháng 8 năm 2020, ví của sàn giao dịch tiền mã hóa Canada CoinBerry bị tấn công và đánh cắp.
Địa chỉ hacker:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
Ngày 11 tháng 9 năm 2020, do rò rỉ khóa riêng tư, đã xảy ra chuyển tiền trái phép 400.000 USD từ nhiều ví thuộc quyền kiểm soát của đội ngũ Unibright.
Địa chỉ hacker:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
Ngày 6 tháng 10 năm 2020, do lỗi bảo mật, các tài sản mã hóa trị giá 750.000 USD đã bị chuyển trái phép khỏi ví nóng của CoinMetro.
Địa chỉ hacker:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: Sơ đồ dòng tiền bị đánh cắp
Đầu năm 2021, các khoản tiền từ các vụ tấn công khác nhau đã được tập hợp về địa chỉ sau:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603.
Ngày 11 tháng 1 năm 2021, địa chỉ 0x0864b5 đã gửi 3.000 ETH vào Tornado Cash, sau đó tiếp tục gửi hơn 1.800 ETH vào Tornado Cash qua địa chỉ 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129.
Sau đó, từ ngày 11 đến ngày 15 tháng 1, gần 4.500 ETH đã được rút dần từ Tornado Cash về địa chỉ 0x05492cbc8fb228103744ecca0df62473b2858810.
Đến năm 2023, sau nhiều lần chuyển đổi và di chuyển, kẻ tấn công đã tập hợp số tiền này về các địa chỉ rút tiền thường dùng trong các sự kiện an ninh khác. Theo sơ đồ theo dõi dòng tiền, có thể thấy rằng kẻ tấn công đã lần lượt gửi tiền bị đánh cắp đến các địa chỉ nạp tiền của Noones và Paxful.
Hacker tấn công Hugh Karp – Nhà sáng lập Nexus Mutual
Ngày 14 tháng 12 năm 2020, Hugh Karp, nhà sáng lập Nexus Mutual, bị đánh cắp 370.000 NXM (trị giá 8,3 triệu USD).

Beosin KYT: Sơ đồ dòng tiền bị đánh cắp
Tiền bị đánh cắp đã được chuyển giữa các địa chỉ sau và đổi sang các loại tiền khác.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Group đã thực hiện các thao tác làm rối loạn, phân tán và tập hợp tiền qua các địa chỉ này. Ví dụ, một phần tiền đã được chuyển chéo chuỗi sang Bitcoin, sau đó lại chuyển ngược về chuỗi Ethereum qua nhiều bước, rồi sử dụng các nền tảng trộn tiền (mixer) để che giấu nguồn gốc, trước khi gửi tới các nền tảng rút tiền.
Từ ngày 16 đến ngày 20 tháng 12 năm 2020, một trong các địa chỉ hacker 0x078405 đã gửi hơn 2.500 ETH vào Tornado Cash; vài giờ sau, dựa trên đặc điểm liên kết, có thể xác định địa chỉ 0x78a9903af04c8e887df5290c91917f71ae028137 bắt đầu hoạt động rút tiền.
Kẻ tấn công đã chuyển và đổi tiền, gửi một phần tiền đến các địa chỉ rút tiền giống như trong sự kiện trước đó.
Sau đó, từ tháng 5 đến tháng 7 năm 2021, kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ nạp tiền Bixin.
Từ tháng 2 đến tháng 3 năm 2023, kẻ tấn công đã gửi 2,77 triệu USDT đến địa chỉ nạp tiền Paxful thông qua địa chỉ 0xcbf04b011eebc684d380db5f8e661685150e3a9e.
Từ tháng 4 đến tháng 6 năm 2023, kẻ tấn công đã gửi 8,4 triệu USDT đến địa chỉ nạp tiền Noones thông qua địa chỉ 0xcbf04b011eebc684d380db5f8e661685150e3a9e.
Hacker tấn công Steadefi và CoinShift

Beosin KYT: Sơ đồ dòng tiền bị đánh cắp
Địa chỉ tấn công vụ Steadefi
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Địa chỉ tấn công vụ Coinshift
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
Vào tháng 8 năm 2023, 624 ETH bị đánh cắp từ sự kiện Steadefi đã được chuyển vào Tornado Cash; cùng tháng đó, 900 ETH bị đánh cắp từ sự kiện Coinshift cũng được chuyển vào Tornado Cash.
Sau khi chuyển ETH vào Tornado Cash, số tiền này ngay lập tức được rút dần về các địa chỉ sau:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
Ngày 12 tháng 10 năm 2023, ba địa chỉ trên đã gửi toàn bộ số tiền rút từ Tornado Cash về địa chỉ 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.
Vào tháng 11 năm 2023, địa chỉ 0x5d65ae bắt đầu di chuyển tiền, cuối cùng thông qua các bước trung chuyển và chuyển đổi, đã gửi tiền đến địa chỉ nạp tiền Paxful và Noones.
Tổng kết sự việc
Bài viết trên đã trình bày về hoạt động của nhóm tin tặc Triều Tiên Lazarus Group trong những năm gần đây, đồng thời phân tích và tổng hợp các phương thức rửa tiền của chúng: Sau khi đánh cắp tài sản mã hóa, Lazarus Group chủ yếu sử dụng cách thức chuyển đổi chéo chuỗi rồi gửi vào các máy trộn tiền như Tornado Cash để làm rối dòng tiền. Sau khi làm rối, nhóm này rút tài sản bị đánh cắp về các địa chỉ mục tiêu, sau đó gửi đến một nhóm địa chỉ cố định để thực hiện rút tiền. Các tài sản mã hóa bị đánh cắp trước đây hầu hết đều được gửi vào các địa chỉ nạp tiền Paxful và Noones, sau đó thông qua dịch vụ OTC để chuyển đổi thành tiền pháp định.
Trước những cuộc tấn công liên tục và quy mô lớn của Lazarus Group, ngành Web3 đang đối mặt với những thách thức an ninh nghiêm trọng. Beosin tiếp tục theo dõi sát sao nhóm hacker này, sẽ tiếp tục giám sát các hoạt động và phương thức rửa tiền của chúng nhằm hỗ trợ các dự án, cơ quan quản lý và thực thi pháp luật trong việc đấu tranh chống tội phạm và thu hồi tài sản bị đánh cắp.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










