Bộ Tài chính Hoa Kỳ đã liên quan đến Tập đoàn Lazarus do Triều Tiên hậu thuẫn (hay còn gọi là Hidden Cobra) trong vụ trộm 540 triệu USD từ trò chơi điện tử Axie Infinity's Ronin Network vào tháng trước.
Vào thứ Năm, Kho bạc đã ràng buộc địa chỉ ví Ethereum nhận tiền bị đánh cắp với kẻ đe dọa và xử phạt số tiền bằng cách thêm địa chỉ vào Danh sách các quốc gia được chỉ định đặc biệt (OFAC) của Văn phòng Kiểm soát Tài sản Nước ngoài (SDN).
“FBI, phối hợp với Kho bạc và các đối tác khác của chính phủ Hoa Kỳ, sẽ tiếp tục vạch trần và chống lại việc CHDCND Triều Tiên sử dụng các hoạt động bất hợp pháp – bao gồm tội phạm mạng và trộm cắp tiền điện tử – để tạo ra doanh thu cho chế độ”, cơ quan tình báo và thực thi pháp luật cho biết trong một tuyên bố.
Vụ trộm tiền điện tử, vụ trộm tiền điện tử lớn thứ hai cho đến nay, liên quan đến việc bòn rút 173.600 Ether (ETH) và 25,5 triệu USD Coin từ cầu nối chuỗi chéo Ronin, cho phép người dùng chuyển tài sản kỹ thuật số của họ từ mạng tiền điện tử này sang mạng lưới tiền điện tử khác, vào ngày 23 tháng 3 năm 2022.
Ronin Network giải thích trong báo cáo tiết lộ một tuần sau khi vụ việc được đưa ra ánh sáng: “Kẻ tấn công đã sử dụng các khóa riêng bị tấn công để thực hiện việc rút tiền giả.
Các biện pháp trừng phạt cấm các cá nhân và tổ chức của Hoa Kỳ giao dịch với địa chỉ được đề cập để đảm bảo rằng nhóm do nhà nước tài trợ không thể rút thêm bất kỳ khoản tiền nào. Một phân tích của Elliptic đã phát hiện ra rằng nam diễn viên đã quản lý để rửa 18% trong số các quỹ kỹ thuật số bị bòn rút (khoảng 97 triệu đô la) tính đến ngày 14 tháng 4.
“Đầu tiên, USDC bị đánh cắp đã được đổi lấy ETH thông qua các sàn giao dịch phi tập trung (DEX) để ngăn nó bị thu giữ”, Elliptic lưu ý. “Bằng cách chuyển đổi mã thông báo tại DEX, tin tặc đã tránh được hoạt động chống rửa tiền (AML) và kiểm tra ‘biết khách hàng của bạn' (KYC) được thực hiện tại các sàn giao dịch tập trung.”
Gần 80,3 triệu đô la trong số tiền bị rửa đã liên quan đến việc sử dụng Tornado Cash, một dịch vụ trộn trên chuỗi khối Ethereum được thiết kế để che giấu dấu vết của các khoản tiền, với 9,7 triệu đô la ETH khác có khả năng được rửa theo cách tương tự.
Lazarus Group, một cái tên được giao cho các tổ chức được nhà nước bảo trợ hoạt động vì lợi ích chiến lược của Triều Tiên, có thành tích tiến hành các vụ trộm tiền điện tử ít nhất kể từ năm 2017 để vượt qua các lệnh trừng phạt và tài trợ cho các chương trình hạt nhân và tên lửa đạn đạo của đất nước.
“Các hoạt động gián điệp của đất nước được cho là phản ánh những mối quan tâm và ưu tiên trước mắt của chế độ. [and] thông tin về quan hệ đối ngoại và thông tin hạt nhân, “Mandiant chỉ ra trong một cuộc nghiên cứu sâu gần đây.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã coi các tác nhân mạng là một nhóm ngày càng tinh vi đã phát triển và triển khai một loạt các công cụ phần mềm độc hại trên khắp thế giới để hỗ trợ các hoạt động này.
Nhóm này được biết là đã cướp tài sản kỹ thuật số trị giá ước tính 400 triệu đô la từ các nền tảng tiền điện tử vào năm 2021, đánh dấu mức tăng 40% so với năm 2020, theo Chainalysis, cho thấy “chỉ 20% số tiền bị đánh cắp là Bitcoin, [and that] Ether chiếm phần lớn số tiền bị đánh cắp với tỷ lệ 58%. “
Bất chấp các lệnh trừng phạt của chính phủ Hoa Kỳ đối với nhóm hack, các chiến dịch gần đây do nhóm này thực hiện đã tận dụng các ứng dụng ví tài chính phi tập trung (DeFi) trojanized để tạo ra các hệ thống Windows và chiếm đoạt tiền từ những người dùng không nghi ngờ.
Đó không phải là tất cả. Trong một cuộc tấn công mạng khác được Broadcom Symantec tiết lộ trong tuần này, nam diễn viên đã được quan sát thấy nhắm mục tiêu vào các tổ chức hàn Quốc hoạt động trong lĩnh vực hóa chất, nơi dường như là phần tiếp theo của một chiến dịch phần mềm độc hại có tên “Operation Dream Job”, chứng thực các phát hiện từ Nhóm phân tích mối đe dọa của Google vào tháng 3 năm 2022.
Các cuộc xâm nhập, được phát hiện vào đầu tháng 1 này, bắt đầu bằng một tệp HTM đáng ngờ nhận được dưới dạng liên kết trong email lừa đảo hoặc được tải xuống từ internet, khi mở ra, sẽ kích hoạt chuỗi lây nhiễm, cuối cùng dẫn đến việc truy xuất tải trọng giai đoạn hai từ một máy chủ từ xa để tạo điều kiện cho các cuộc xâm nhập xa hơn.
Symantec đánh giá, mục tiêu của các cuộc tấn công là nhằm “có được tài sản trí tuệ để tiếp tục theo đuổi các mục tiêu của chính Triều Tiên trong lĩnh vực này.”
Sự tấn công liên tục của các hoạt động bất hợp pháp do Lazarus Group thực hiện cũng đã khiến Bộ Ngoại giao Mỹ tuyên bố thưởng 5 triệu USD cho “thông tin dẫn đến phá vỡ cơ chế tài chính của những người tham gia vào một số hoạt động hỗ trợ Triều Tiên.”
Diễn biến này diễn ra vài ngày sau khi một tòa án Hoa Kỳ ở New York kết án Virgil Griffith, một cựu nhà phát triển Ethereum, 39 tuổi, 5 năm ba tháng tù giam vì tội giúp Triều Tiên sử dụng tiền ảo để trốn tránh các lệnh trừng phạt.
Để làm cho vấn đề tồi tệ hơn, các kẻ độc hại đã ăn cắp tiền điện tử trị giá 1,3 tỷ đô la chỉ trong ba tháng đầu năm 2022, so với 3,2 tỷ đô la đã bị cướp trong toàn bộ năm 2021, cho thấy một “sự gia tăng siêu tốc” trong các vụ trộm từ các nền tảng tiền điện tử.
Chainalysis cho biết trong một báo cáo được công bố trong tuần này: “Gần 97% tổng số tiền điện tử bị đánh cắp trong ba tháng đầu năm 2022 đã được lấy từ các giao thức DeFi, tăng từ 72% vào năm 2021 và chỉ 30% vào năm 2020”.
“Tuy nhiên, đối với các giao thức DeFi nói riêng, các vụ trộm lớn nhất thường là do mã bị lỗi. Việc khai thác mã và các cuộc tấn công cho vay nhanh – một loại khai thác mã liên quan đến việc thao túng giá tiền điện tử – đã chiếm phần lớn giá trị bị đánh cắp bên ngoài Ronin các nhà nghiên cứu cho biết.
.
