SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
Coin98 Insights
Save
Copy link

Lazarus Group: Truyền thuyết đô thị trong ngành an ninh mạng và crypto

Lazarus Group thường xuất hiện trên các tiêu đề liên quan tới những vụ tấn công ảnh hưởng hàng trăm triệu USD. Vậy Lazarus Group là ai? Ai là người đứng sau nhóm hacker lớn nhất ở thời điểm hiện tại?
nguyennsh
Published Sep 08 2024
8 min read
lazarus group là gì

Lazarus Group là ai?

Lazarus Group là nhóm hacker tại đất nước Triều Tiên. Họ khét tiếng không chỉ trong cộng đồng crypto, mà còn ở thị trường tài chính và là nỗi sợ hãi của nhiều chính phủ.

Cuộc tấn công đầu tiên diễn ra vào năm 2009 với nạn nhân là chính phủ Hàn Quốc và gần đây nhất là cuộc tấn công vào sàn giao dịch WazirX (7/2024). Lazarus Group đã gây thiệt hại lên gần  chục tỷ USD, trở thành mối đe dọa lớn nhất trong an ninh mạng.

Trong thị trường crypto, con số thiệt hại do Lazarus Group gây ra đủ để khiến mọi cơ sở nghiên cứu có đề tài riêng về nhóm này. Theo Chainanalysis, giai đoạn 2017-2020, hơn 60% số tiền bị đánh cắp trong thị trường crypto đều do Lazarus Group.

lazarus group
Lazarus Group là ai?
advertising

Quân bài của chính phủ Triều Tiên

Theo BBC và Geoff White - phóng viên an ninh mạng và tác giả cuốn sách Lazarus Heist, Lazarus Group không chỉ là nhóm hacker thông thường mà còn dưới quyền chính phủ Triều Tiên.

Mối liên kết giữa Lazarus Group và Triều Tiên hiện rõ vào năm 2014, khi nhóm hacker này tổ chức một cuộc tấn công nhắm vào tập đoàn giải trí lớn nhất thế giới - Sony Pictures Entertainment. Thời điểm bấy giờ, Sony vừa hoàn thành một dự án phim hài, châm biếm về đất nước Triều Tiên với tên gọi “The Interview".

Bối cảnh của bộ phim nói về hai người đàn ông hành nghề dẫn chương trình, đi sang Triều Tiên để thực hiện cuộc phỏng vấn với lãnh đạo đất nước này. Trong quá trình chuẩn bị hành trang sang một đất nước “cách biệt” với thế giới, không sử dụng máy tính, điện thoại bị hạn chế, thì hai anh chàng được CIA tiếp cận và đưa ra nhiệm vụ ám sát Kim Jong Un.

Nếu ai đã coi “The Interview", thì đây là một bộ phim hài thông thường, chủ yếu đem lại tiếng cười cho người coi. Tuy nhiên, “The Interview” đã gây ra tranh cãi. Nhân vật lãnh đạo Triều Tiên được xây dựng y hệt Kim Jong Un, từ tên tuổi, chức vị cho tới ngoại hình. Cái kết cuối phim, Kim Jong Un bị ám sát, gây không ít phẫn nộ dành cho chính phủ Triều Tiên.

poster the interview
Poster phim The Interview. Ảnh: Business Insider.

Bất chấp phản đối, thậm chí uy hiếp từ chính phủ Triều Tiên, Sony Pictures vẫn không gỡ bỏ bộ phim và phớt lờ mọi thứ. Do đó, vào tháng 11/2014, Lazarus Group đã công khai tấn công vào Sony Pictures Entertainment.

Cuộc tấn công này khiến tập đoàn có giá trị ròng hàng tỷ USD gần như không thể chống đỡ, lương bổng của nhân viên, tài liệu mật… đều bị tiết lộ trên các trang mạng xã hội. Nhân viên Sony không thể chấm công và bước chân vào công ty. Thậm chí họ còn không thể có một ly cà phê, bởi những tiệm cà phê gần Sony còn bị “phế" máy quẹt thẻ.

Theo Los Angeles Times, cuộc tấn công quá khắc nghiệt đến mức mọi thủ tục và hoạt động trong tập đoàn đa quốc gia đều phải sử dụng bút và giấy mực. Cuối cùng, chính phủ Mỹ buộc phải nhập cuộc và tham gia điều tra về Lazarus Group.

Tuy nhiên, Lazarus Group lúc này đã rời bỏ Sony Pictures Entertainment và tiến tới một mục tiêu lớn hơn, tham vọng hơn, đó là vụ cướp ngân hàng Bangladesh. Đây không phải một ngân hàng thông thường, mà là ngân hàng trung ương của đất nước Bangladesh.

Cùng hình thức nhắm tới Sony, tháng 1/2015, Lazarus Group sử dụng thủ đoạn phishing attack, gửi một email cho nhân viên ngân hàng và khiến họ tải tập tin mã độc về máy tính ngân hàng. Tuy nhiên cho tới 1 năm sau (2/2016) khi kế hoạch đã rõ ràng, Lazarus Group mới chính thức tấn công vào ngân hàng Bangladesh.

Cuộc tấn công diễn ra vào thứ 5 (4/2/2016), thời điểm cuối tuần và cận kề là ngày tết Nguyên Đán (8/2/2016). Lazarus Group thực hiện 35 giao dịch gửi tiền từ ngân hàng Bangladesh về ngân hàng New York, sau đó chuyển đi Philippines, mà không một ai phát hiện.

Ngày 9/2/2016, các cấp cao phát hiện ngân hàng Bangladesh thất thoát gần 1 tỷ USD, họ đã liên lạc về New York và thành công truy ra số tiền đã về Philippines. Tuy nhiên, họ không thể liên lạc cho ngân hàng Philippines, bởi đây là ngày nghỉ của nhân viên tại đất nước này. Thời gian liên tục bị kéo dài từ ngày nghỉ ở Bangladesh cho tới ngày nghỉ của Philippines.

Lý do Lazarus Group chuyển tiền tới Philippines là để rửa tiền thông qua các sòng bạc. Thời điểm 2016, tất cả casino tại Philippines chưa chịu ảnh hưởng bởi những đạo luật chống rửa tiền. Mặc dù chính phủ Bangladesh thành công ngăn chặn âm mưu của Lazarus Group, nhưng nhóm hacker này đã thành công quy đổi 81 triệu USD tiền ăn trộm thành hợp pháp.

Kế hoạch, quy mô của cuộc tấn công quá tinh vi và chi tiết, khiến FBI lẫn FED tin rằng Lazarus Group trực thuộc chính phủ Triều Tiên. Nghi phạm duy nhất của Lazarus Group là Park Jin Hyok, cũng trốn về Pyongyang - thủ đô Triều Tiên và khu vực ngoài tầm kiểm soát của FBI.

vụ tấn công bangladesh
Park Jin Hyok là nghi phạm chính cho vụ tấn công ngân hàng Banglades. Ảnh: BBC.

Theo BBC và phóng viên Geoff White, vụ tấn công của Lazarus Group là mũi tên trúng hai đích. Đầu tiên, 81 triệu USD là con số rất lớn đối với nền kinh tế Bangladesh thời điểm bấy giờ, một đất nước có tới 1/5 dân số thuộc diện nghèo. Trong khi đó, số tiền bị đánh cắp lại được phục vụ để phát triển quân sự và vũ khí hạt nhân (theo BBC).

3 tỷ USD trong thị trường crypto

Sau vụ cướp Bangladesh, Lazarus Group bắt đầu chuyển hướng tới thị trường crypto. Và con số 3 tỷ USD là số tiền Lazarus Group đã đánh cắp trong thị trường crypto từ năm 2017 cho tới 2023, thậm chí theo Chainanalysis con số đánh cắp có thể lên tới 4.1 tỷ USD.

Các nạn nhân hầu hết là những dự án lớn, sàn giao dịch top đầu trong thị trường crypto. Chẳng hạn như:

  • 2/2020: Sàn Kucoin bị thiệt hại 275 triệu USD, con số tương đương 50% số tiền bị đánh cắp trong cùng năm.
  • 12/2020: Founder của Nexus Mutual bị đánh cắp 370,000 NXM, tương đương 8.3 triệu USD.
  • 3/2022: Ronin Bridge bị tấn công với số tiền thất thoát lên tới 540 triệu USD.
  • 7/2024: Sàn WazirX bị tấn công với số tiền chiếm đoạt tới 235 triệu USD.

Mặc dù phần lớn số tiền đánh cắp vẫn chưa thể đem ra bên ngoài, nhưng thủ thuật và cách thức rửa tiền của Lazarus Group luôn có một quy trình, đánh dấu cho sự khác biệt và độc nhất của nhóm hacker này. Cụ thể, họ bắt đầu cuộc tấn công qua hình thức phổ biến gồm phishing attack hoặc social engineering.

Theo ZachXBT và Chainanalysis, sau khi đánh cắp thành công số tiền, Lazarus Group sẽ chuyển tài sản qua lại nhiều ví, mạng lưới khác nhau, với điểm đến cuối cùng của những ví này là các giao thức coin mixer như Railgun, Tornado Cash, ChipMixer…

Sau khi sử dụng coin mixer để xoá nguồn gốc tài sản, Lazarus Group tiếp tục chuyển về các sàn giao dịch P2P như Paxful hay Noones. Từ đây, số tiền đánh cắp sẽ được giao dịch với những người mua bán OTC, hoàn tất quá trình đưa tiền bẩn trên blockchain trở thành tiền sạch ngoài đời.

Trong một bài báo cáo của Chainanalysis đầu năm 2023, chỉ với duy nhất cách thức trên, Lazarus Group đã thành công rửa 1.75 tỷ USD trên tổng số 3 tỷ USD. Đây là con số đủ lớn khiến nhiều cá nhân đã có suy nghĩ rằng thị trường crypto quá lỏng lẻo, thiếu bảo mật để đối mặt với Lazarus Group, gián tiếp làm giàu Triều Tiên.

Tìm hiểu thêm: Coin mixer là gì? Công cụ tăng tính bảo mật hay máy rửa tiền phi pháp?

RELEVANT SERIES