Cơ quan cảnh sát Na Uy Økokrim đã thông báo về việc tịch thu số tiền điện tử trị giá 60 triệu NOK (khoảng 5,84 triệu đô la) do Tập đoàn Lazarus đánh cắp vào tháng 3 năm 2022 sau vụ hack Axie Infinity Ronin Bridge.
“Trường hợp này cho thấy rằng chúng tôi cũng có khả năng tuyệt vời để theo dõi tiền trên blockchain, ngay cả khi bọn tội phạm sử dụng các phương pháp tiên tiến”, cơ quan này cho biết trong một tuyên bố.
Sự phát triển diễn ra hơn 10 tháng sau khi Bộ Tài chính Hoa Kỳ liên quan đến nhóm hack do Triều Tiên hậu thuẫn vì hành vi trộm cắp 620 triệu đô la từ cây cầu xuyên chuỗi Ronin.
Sau đó vào tháng 9 năm 2022, chính phủ Hoa Kỳ thông báo đã thu hồi được số tiền điện tử trị giá hơn 30 triệu đô la, chiếm 10% số tiền bị đánh cắp.
Økokrim cho biết họ đã làm việc với các đối tác thực thi pháp luật quốc tế để theo dõi và ghép nối dấu vết tiền, do đó gây khó khăn hơn cho các phần tử tội phạm trong việc thực hiện các hoạt động rửa tiền.
“Đây là số tiền có thể hỗ trợ Triều Tiên và chương trình vũ khí hạt nhân của họ,” nó nói thêm. “Do đó, điều quan trọng là phải theo dõi tiền điện tử và cố gắng ngăn chặn tiền khi họ cố gắng rút tiền bằng tài sản vật chất.”
Sự phát triển diễn ra khi các sàn giao dịch tiền điện tử Binance và Huobi đóng băng các tài khoản chứa khoảng 1,4 triệu đô la tiền kỹ thuật số có nguồn gốc từ vụ hack Harmony's Horizon Bridge vào tháng 6 năm 2022.
Cuộc tấn công, cũng bị đổ lỗi cho Tập đoàn Lazarus, đã cho phép những kẻ đe dọa rửa một số tiền thu được thông qua Tornado Cash, đã bị chính phủ Hoa Kỳ xử phạt vào tháng 8 năm 2022.
Công ty phân tích chuỗi khối Elliptic cho biết: “Số tiền bị đánh cắp vẫn không hoạt động cho đến gần đây, khi các nhà điều tra của chúng tôi bắt đầu thấy chúng được chuyển qua các chuỗi giao dịch phức tạp, đến các sàn giao dịch”.
Hơn nữa, có những dấu hiệu cho thấy Blender – một máy trộn tiền điện tử khác đã bị xử phạt vào tháng 5 năm 2022 – có thể đã hồi sinh dưới tên Sinbad, rửa gần 100 triệu đô la Bitcoin từ các vụ hack do Lazarus Group thực hiện, Tom Robinson của Elliptic nói với The Hacker News.
Theo công ty, các khoản tiền bị bòn rút sau vụ cướp Horizon Bridge đã được “rửa sạch thông qua một loạt các giao dịch phức tạp liên quan đến các sàn giao dịch, cầu nối chuỗi chéo và máy trộn.”
“Tornado Cash đã được sử dụng một lần nữa, nhưng thay cho Blender, một máy trộn Bitcoin khác đã được sử dụng: Sinbad.”
Mặc dù dịch vụ này chỉ mới ra mắt vào đầu tháng 10 năm 2022, nhưng ước tính dịch vụ này đã kiếm được hàng chục triệu đô la từ Horizon và các vụ hack khác có liên kết với Triều Tiên.
Trong khoảng thời gian hai tháng từ tháng 12 năm 2022 đến tháng 1 năm 2023, nhóm quốc gia-nhà nước đã gửi tổng cộng 1.429,6 Bitcoin trị giá khoảng 24,2 triệu đô la cho máy trộn, Chainalysis tiết lộ vào đầu tháng này.
Bằng chứng cho thấy Sinbad “rất có khả năng” là một thương hiệu của Blender bắt nguồn từ sự trùng lặp trong địa chỉ ví được sử dụng, mối quan hệ của họ với Nga và những điểm tương đồng trong cách thức hoạt động của cả hai máy trộn.
Elliptic cho biết: “Phân tích các giao dịch chuỗi khối cho thấy một ví Bitcoin được sử dụng để thanh toán cho những cá nhân quảng bá Sinbad, chính nó đã nhận Bitcoin từ ví của nhà điều hành Blender bị nghi ngờ”.
“Phân tích các giao dịch chuỗi khối cho thấy rằng hầu hết tất cả các giao dịch đến sớm với Sinbad (khoảng 22 triệu đô la) đều bắt nguồn từ ví của nhà điều hành Blender bị nghi ngờ.”
Người tạo ra Sinbad, người có bí danh “Mehdi”, nói với WIRED rằng dịch vụ này đã được ra mắt để đáp ứng “sự tập trung hóa ngày càng tăng của tiền điện tử” và đó là một dự án bảo vệ quyền riêng tư hợp pháp hợp pháp dọc theo dòng Monero, Zcash, Wasabi và Tor .
Phát hiện này cũng được đưa ra khi các tổ chức chăm sóc sức khỏe đang nằm trong tầm ngắm của một làn sóng tấn công ransomware mới do những kẻ tấn công Lazarus dàn dựng để tạo ra doanh thu bất hợp pháp cho quốc gia bị trừng phạt.
Lợi nhuận kiếm được từ các cuộc tấn công có động cơ tài chính này được sử dụng để tài trợ cho các hoạt động mạng khác, bao gồm do thám khu vực quốc phòng và các tổ chức cơ sở công nghiệp quốc phòng ở Hàn Quốc và Hoa Kỳ, theo một lời khuyên chung do hai nước đưa ra.
Tuy nhiên, các hành động thực thi pháp luật vẫn chưa làm giảm bớt cuộc tấn công dồn dập của kẻ đe dọa, vốn đã tiếp tục phát triển với các hành vi mới.
Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) đã tiết lộ trong một báo cáo gần đây rằng điều này bao gồm một loạt các kỹ thuật chống pháp y được thiết kế để xóa dấu vết của các vụ xâm nhập cũng như cản trở quá trình phân tích.
Các nhà nghiên cứu của ASEC cho biết: “Nhóm Lazarus đã thực hiện tổng cộng ba kỹ thuật: ẩn dữ liệu, xóa vật phẩm và che giấu dấu vết”.
