Chuyển tiêu đề gốc ‘Mô hình: Tiết lộ Mối đe doạ từ nhóm Hacker Bắc Triều Tiên Lazarus Group’

Một cuộc thảo luận về Nhóm Lazarus - kẻ phạm tội đằng sau vụ hack Bybit - từ quan điểm về cấu trúc tổ chức, phương pháp tấn công và chiến lược phòng thủ.

Một buổi sáng tháng Hai, đèn sáng lên trong nhóm trò chuyện nhóm SEAL 911. Chúng tôi nhìn chăm chú khi Bybit di chuyển hơn 1 tỷ đô la giá trị token từ ví lạnh của họ đến một địa chỉ mới và sau đó nhanh chóng bắt đầu thanh lý hơn 200 triệu đô la trong LST. Trong vòng vài phút, thông qua việc giao tiếp với nhóm Bybit và phân tích độc lập (liên quan đến multisig và một triển khai Ví An toàn đã được xác minh trước đó, giờ đây đã được thay thế bằng một hợp đồng mới triển khai và chưa được xác minh), chúng tôi xác nhận rằng đây không phải là bảo trì định kỳ. Ai đó vừa phát động một trong những vụ hack lớn nhất trong lịch sử tiền điện tử—và chúng tôi đang ngồi ở hàng ghế đầu.

Trong khi một phần của nhóm (cùng với cộng đồng điều tra rộng lớn) bắt đầu theo dõi các quỹ và thông báo cho các sàn giao dịch đối tác, người khác đã cố gắng tìm hiểu chính xác đã xảy ra chuyện gì - và liệu có thêm quỹ nào đang đối mặt nguy cơ hay không. May mắn thay, việc xác định thủ phạm rất dễ dàng. Trong vài năm qua, chỉ có một nhóm đe dọa đã thành công trong việc đánh cắp hàng tỷ từ các sàn giao dịch tiền điện tử: Bắc Triều Tiên, cũng được biết đến với tên gọi là CHDCND Triều Tiên.

Tuy nhiên, vượt ra ngoài điều đó, chúng tôi không có nhiều thông tin để tham khảo. Do bản chất tinh ranh và kỹ năng làm mờ xuất sắc của hacker Triều Tiên, việc xác định nguyên nhân gốc rễ của vụ vi phạm - huống hồ ngay cả việc xác định đội cụ thể nào bên trong Triều Tiên chịu trách nhiệm - là rất khó khăn. Tất cả những gì chúng tôi có là thông tin tình báo hiện có cho thấy rằng các nhà điều hành DPRK thường dựa vào chiến thuật kỹ thuật xã hội để xâm nhập vào các sàn giao dịch tiền điện tử. Dựa trên điều đó, chúng tôi cho rằng họ đã nắm bắt các người ký multisig của Bybit và triển khai phần mềm độc hại để can thiệp vào quá trình ký.

Như đã biết, giả định đó hoàn toàn không chính xác. Vài ngày sau, chúng tôi phát hiện rằng Bắc Triều Tiên đã thực sự xâm nhập cơ sở hạ tầng của Ví An toàn và triển khai một quá tải độc hại tùy chỉnh nhắm mục tiêu đặc biệt vào Bybit. Sự phức tạp của cuộc tấn công này vượt xa những gì mà bất kỳ ai đã dự đoán hoặc chuẩn bị cho - đặt ra thách thức nghiêm trọng đối với nhiều mô hình bảo mật hiện có trên thị trường.

Các hacker Bắc Triều Tiên đang trở thành mối đe dọa ngày càng lớn đối với ngành công nghiệp của chúng tôi. Chúng ta không thể đánh bại một kẻ thù mà chúng ta không hiểu. Mặc dù có nhiều sự cố và bài viết được ghi chép về các hoạt động mạng của Bắc Triều Tiên, nhưng rất khó để ghép chúng lại. Tôi hy vọng bản tổng quan này có thể giúp cung cấp một bức tranh rõ ràng hơn về cách hoạt động của Bắc Triều Tiên, chiến lược và thủ tục của họ, và cuối cùng giúp chúng ta thực hiện các biện pháp giảm nhẹ đúng đắn.

Cấu trúc tổ chức

Một trong những sự hiểu lầm lớn nhất cần được giải quyết là cách phân loại và đặt tên cho các hoạt động mạng lưới rộng lớn của Bắc Triều Tiên. Mặc dù việc sử dụng thuật ngữ “Nhóm Lazarus” theo cách nói thông tục như một nhãn hiệu tổng quát là chấp nhận được, một thuật ngữ chính xác hơn sẽ hữu ích khi bàn luận về mức độ đe dọa mạng lưới theo hệ thống do Bắc Triều Tiên đưa ra.

Đầu tiên, việc hiểu biểu đồ tổ chức của Bắc Triều Tiên sẽ giúp ích. Ở đỉnh cao là đảng cầm quyền - và duy nhất - Đảng Lao động Triều Tiên (WPK), có trách nhiệm giám sát tất cả các cơ quan nhà nước. Điều này bao gồm Lục quân Nhân dân Triều Tiên (KPA) và Ủy ban Trung ương. Trong KPA tồn tại Bộ Tổng tham mưu (GSD), nơi Điều tra Tổng tham mưu (RGB) đặt trụ sở. Dưới Ủy ban Trung ương là Bộ Công nghiệp Vũ khí (MID).

RGB chịu trách nhiệm cho gần như tất cả các hoạt động mạng của Bắc Triều Tiên, bao gồm hầu hết tất cả các hoạt động được quan sát trong ngành công nghiệp tiền điện tử. Ngoài các nhóm Lazarus nổi tiếng, các tác nhân đe dọa khác xuất phát từ RGB bao gồm AppleJeus, APT38, DangerousPassword và TraderTraitor. Ngược lại, MID giám sát chương trình tên lửa hạt nhân của Bắc Triều Tiên và là nguồn chính của công nhân IT ở nước ngoài của đất nước. Cộng đồng tình báo xác định những tác nhân này là Phỏng vấn Lan truyền và Wagemole.

Nhóm Lazarus

Nhóm Lazarus là một tổ chức hack rất tinh vi. Các chuyên gia an ninh mạng tin rằng một số cuộc tấn công mạng lớn nhất và phá hoại nhất trong lịch sử đã được nhóm này thực hiện. Năm 2016, Novetta xác định Nhóm Lazarus trong quá trình phân tích vụ hack của Sony Pictures Entertainment.

Năm 2014, Sony đang sản xuất bộ phim hành động hài The Interview, câu chuyện chính của bộ phim liên quan đến sự lăng mạ và cuối cùng là ám sát Kim Jong-un. Điều này là hiểu được, không được chào đón bởi chế độ Triều Tiên, đã trả đũa bằng cách hack vào mạng của Sony, đánh cắp một số terabyte dữ liệu, rò rỉ hàng trăm gigabyte thông tin mật hoặc nhạy cảm và xóa các bản gốc. Như CEO lúc đó Michael Lynton đã nói: “Những người làm điều này không chỉ đạo phạm mọi thứ trong nhà—họ đã đốt nhà.” Cuối cùng, Sony đã tiêu tốn ít nhất 15 triệu đô la cho cuộc điều tra và khắc phục vấn đề liên quan đến cuộc tấn công, và thiệt hại thực tế có thể đã cao hơn nhiều.

Năm 2016, một nhóm tin tặc có những điểm tương đồng nổi bật với Lazarus Group đã xâm nhập vào Ngân hàng Bangladesh trong nỗ lực đánh cắp gần 1 tỷ USD. Trong suốt một năm, tin tặc đã tiến hành các cuộc tấn công kỹ thuật xã hội vào nhân viên ngân hàng, cuối cùng có được quyền truy cập từ xa và di chuyển ngang trong mạng cho đến khi chúng đến được máy tính giao tiếp với hệ thống SWIFT. Từ đó, họ chờ đợi cơ hội hoàn hảo: Bangladesh quan sát cuối tuần vào thứ Năm, trong khi Cục Dự trữ Liên bang New York nghỉ thứ Sáu. Vào tối thứ Năm, giờ địa phương, những kẻ tấn công đã sử dụng quyền truy cập SWIFT của họ để gửi 36 yêu cầu chuyển tiền riêng biệt đến Fed New York vào sáng sớm thứ Sáu theo giờ địa phương. Trong 24 giờ tiếp theo, Fed đã chuyển tiếp các khoản chuyển tiền đến Tập đoàn Ngân hàng Thương mại Rizal (RCBC) ở Philippines, nơi bắt đầu xử lý chúng. Vào thời điểm Ngân hàng Bangladesh mở cửa trở lại, họ đã phát hiện ra vi phạm và cố gắng liên hệ với RCBC để tạm dừng các giao dịch, chỉ để thấy ngân hàng đã đóng cửa vào kỳ nghỉ Tết Nguyên đán.

Sau đó vào năm 2017, cuộc tấn công ransomware WannaCry 2.0 lan rộng đã làm hại cho các ngành công nghiệp trên toàn cầu, một phần được quy cho nhóm Lazarus. Được ước tính là đã gây ra tổn thất hàng tỷ đô la, WannaCry tận dụng một lỗ hổng zero-day trên Microsoft Windows ban đầu được phát triển bởi NSA. Nó đã mã hóa các máy cục bộ và lan truyền qua các thiết bị có thể truy cập, cuối cùng làm nhiễm trùng hàng trăm nghìn hệ thống trên toàn thế giới. May mắn thay, nhà nghiên cứu an ninh Marcus Hutchins đã phát hiện và kích hoạt một công tắc tắt trong vòng tám giờ, giới hạn quy mô của thiệt hại.

Suốt lịch sử của mình, Nhóm Lazarus đã thể hiện khả năng kỹ thuật đáng kinh ngạc và hiệu suất hoạt động đáng chú ý. Một trong những mục tiêu chính của họ là tạo ra doanh thu cho chế độ Triều Tiên. Chỉ là vấn đề thời gian trước khi họ chuyển sự chú ý của mình đến ngành công nghiệp tiền điện tử.

Nhánh phụ của Lazarus và mối đe dọa tiến triển

Theo thời gian, khi Lazarus Group trở thành một thuật ngữ thường được các phương tiện truyền thông sử dụng để mô tả các hoạt động mạng của Triều Tiên, ngành công nghiệp an ninh mạng bắt đầu phát triển các tên chính xác hơn cho Lazarus Group và các hoạt động cụ thể liên quan đến Triều Tiên. APT38 là một ví dụ như vậy. Khoảng năm 2016, nó tách ra khỏi Lazarus Group để tập trung đặc biệt vào tội phạm tài chính – ban đầu nhắm vào các ngân hàng (như Ngân hàng Bangladesh) và sau đó là tiền điện tử. Vào năm 2018, một mối đe dọa mới được gọi là AppleJeus đã được phát hiện phân phối phần mềm độc hại nhắm vào người dùng tiền điện tử. Cũng trong năm 2018, khi OFAC lần đầu tiên công bố các biện pháp trừng phạt đối với hai công ty bình phong được người Triều Tiên sử dụng, rõ ràng là các đặc vụ Triều Tiên mạo danh nhân viên CNTT đã xâm nhập vào ngành công nghệ.

Công nhân Công nghệ Thông tin Bắc Triều Tiên

Mặc dù thông tin ghi nhận sớm nhất về công nhân công nghệ thông tin Triều Tiên được ghi lại vào thời điểm áp đặt trừng phạt của OFAC năm 2018, báo cáo năm 2023 của Đơn vị 42 cung cấp một tài khoản chi tiết hơn và xác định hai nhóm đe dọa riêng biệt: Phỏng vấn lây nhiễm và Wagemole.

Contagious Interview nổi tiếng với việc giả mạo các nhà tuyển dụng từ các công ty nổi tiếng để lôi kéo các nhà phát triển tham gia vào quy trình phỏng vấn giả mạo. Các ứng viên tiềm năng được hướng dẫn sao chép một kho lưu trữ để gỡ lỗi cục bộ - được đưa ra như một phần của thách thức lập trình - nhưng kho lưu trữ chứa một cánh cửa sau. Thực thi mã cho phép kẻ tấn công kiểm soát máy chịu ảnh hưởng. Hoạt động này đang diễn ra, với vụ việc gần đây nhất được ghi nhận vào ngày 11 tháng 8 năm 2024.

Wagemole, on the other hand, doesn’t lure victims—they get hired by real companies, blending in as ordinary engineers, albeit often less productive. That said, there are documented instances of IT workers using their access for malicious purposes. In the Munchables incident, an employee linked to North Korean operations exploited privileged access to smart contracts and stole all assets.

Mức độ tinh vi giữa các đặc vụ Wagemole dao động rất rộng. Một số sử dụng mẫu CV chung và từ chối cuộc gọi video, trong khi các đặc vụ khác nộp CV được tùy chỉnh, tham gia phỏng vấn video deepfake, và cung cấp các giấy tờ giả như bằng lái xe và hóa đơn tiện ích. Trong một số trường hợp, các đặc vụ đã ở trong tổ chức nạn nhân đến một năm trước khi tận dụng quyền truy cập của họ để xâm nhập vào các hệ thống khác và/hoặc rút hết tiền mặt.

AppleJeus

AppleJeus chủ yếu tập trung vào phân phối phần mềm độc hại và có kỹ năng thực hiện các cuộc tấn công chuỗi cung ứng phức tạp. Vào năm 2023, cuộc tấn công chuỗi cung ứng 3CX cho phép các nhà diễn cảnh đe dọa tiềm năng nhiễm virus cho hơn 12 triệu người dùng phần mềm 3CX VoIP. Sau đó, phát hiện rằng 3CX chính nó đã bị ảnh hưởng bởi một cuộc tấn công chuỗi cung ứng trên một trong những nhà cung cấp upstream của nó - Trading Technologies 13.

Trong ngành công nghiệp tiền điện tử, AppleJeus ban đầu lan truyền phần mềm độc hại được giả mạo thành phần mềm hợp pháp, như các nền tảng giao dịch hoặc ví tiền điện tử. Tuy nhiên, theo thời gian, chiến thuật của họ đã tiến triển. Vào tháng 10 năm 2024, Radiant Capital đã bị tấn công bởi một kẻ đe dọa giả mạo thành một nhà thầu tin cậy giao phần mềm độc hại qua Telegram. Mandiant đã cho rằng cuộc tấn công này thuộc về AppleJeus.

Mật khẩu nguy hiểm

Mật khẩu Nguy hiểm chịu trách nhiệm cho các cuộc tấn công kỹ thuật xã hội có độ phức tạp thấp nhắm vào ngành công nghiệp tiền điện tử. Ngay từ năm 2019, JPCERT/CC đã ghi lại rằng Mật khẩu Nguy hiểm đã gửi email lừa đảo chứa các tệp đính kèm hấp dẫn cho người dùng tải xuống. Trong những năm gần đây, Mật khẩu Nguy hiểm đã giả mạo các nhân vật nổi tiếng trong không gian tiền điện tử để gửi email lừa đảo với dòng chủ đề như “Rủi ro lớn trong Stablecoins và Crypto Assets.”

Hôm nay, Dangerous Password tiếp tục gửi email lừa đảo nhưng đã mở rộng hoạt động sang các nền tảng khác. Ví dụ, Radiant Capital báo cáo đã nhận được tin nhắn lừa đảo qua Telegram từ một người giả mạo là một nhà nghiên cứu bảo mật. Tin nhắn bao gồm một tập tin có tên là “Penpie_Hacking_Analysis_Report.zip”. Ngoài ra, người dùng đã báo cáo rằng họ đã được liên hệ bởi những người giả mạo là nhà báo hoặc nhà đầu tư yêu cầu sắp xếp cuộc gọi bằng cách sử dụng các ứng dụng họp video không rõ nguồn gốc. Giống như Zoom, các ứng dụng này yêu cầu người dùng tải xuống một bộ cài đặt một lần, nhưng sau khi thực thi, chúng sẽ cài đặt phần mềm độc hại trên thiết bị của người dùng.

TraderTraitor

TraderTraitor là nhóm hacker tinh vi nhất của Triều Tiên nhắm vào ngành công nghiệp tiền điện tử và có liên quan đến các cuộc tấn công vào các nền tảng như Axie, Infinity và Rain.com. TraderTraitor hầu như chỉ nhắm mục tiêu đến các sàn giao dịch và công ty có dự trữ lớn và không sử dụng lỗ hổng zero-day. Thay vào đó, nó sử dụng các kỹ thuật lừa đảo rất tinh vi để thỏa hiệp với nạn nhân của mình. Trong vụ vi phạm Axie Infinity, TraderTraitor đã liên hệ với một kỹ sư cấp cao qua LinkedIn và thuyết phục thành công họ trải qua một loạt các cuộc phỏng vấn, cuối cùng gửi một “lời mời làm việc” cung cấp tải trọng phần mềm độc hại. Trong cuộc tấn công WazirX, các đặc vụ TraderTraitor đã xâm phạm một thành phần không xác định trong đường ống ký giao dịch. Sau đó, họ rút cạn ví nóng của sàn giao dịch bằng cách liên tục gửi và rút tiền, khiến các kỹ sư phải cân bằng lại từ ví lạnh. Khi các kỹ sư của WazirX cố gắng ký một giao dịch để chuyển tiền, họ đã bị lừa ủy quyền cho một giao dịch trao quyền kiểm soát ví lạnh cho TraderTraitor. Điều này rất giống với cuộc tấn công vào Bybit vào tháng 2 năm 2025, trong đó TraderTraitor đầu tiên xâm phạm cơ sở hạ tầng Safe{Wallet} thông qua kỹ thuật xã hội, sau đó triển khai JavaScript độc hại vào giao diện người dùng Safe Wallet được sử dụng đặc biệt bởi ví lạnh của Bybit. Khi Bybit cố gắng cân bằng lại ví của mình, mã độc đã được kích hoạt, khiến các kỹ sư của Bybit vô tình ký một giao dịch chuyển quyền kiểm soát ví lạnh cho TraderTraitor.

Bảo An

Bắc Triều Tiên đã chứng minh khả năng triển khai lỗ hổng zero-day chống lại đối thủ, nhưng cho đến nay, không có sự cố hoặc sự kiện nào ghi nhận hoặc biết đến về việc sử dụng zero-days chống lại ngành công nghiệp tiền điện tử. Do đó, lời khuyên về an ninh tiêu chuẩn áp dụng cho gần như tất cả các mối đe dọa từ các hacker Bắc Triều Tiên.

Đối với cá nhân, lẽ thông thường và sự cảnh giác trước kỹ thuật xã hội là chìa khóa. Ví dụ, nếu ai đó tuyên bố sở hữu thông tin cực kỳ mật và đề nghị chia sẻ với bạn, hãy tiến hành cẩn thận. Hoặc nếu ai đó đặt áp lực thời gian và thúc đẩy bạn tải xuống và chạy phần mềm, hãy cân nhắc xem họ có đang cố ngăn bạn suy nghĩ một cách đúng đắn không.

Đối với tổ chức, áp dụng nguyên tắc ít đặc quyền mọi nơi có thể. Giảm thiểu số người truy cập vào hệ thống nhạy cảm, và đảm bảo họ sử dụng trình quản lý mật khẩu và xác thực hai yếu tố (2FA). Giữ thiết bị cá nhân và làm việc riêng biệt, và cài đặt công cụ Quản lý Thiết bị Di động (MDM) và Công cụ Phát hiện và Phản ứng Trên Thiết bị Kết thúc (EDR) trên máy tính làm việc để duy trì cả an ninh trước khi xâm nhập và khả năng nhìn thấy sau khi xâm nhập.

Rất tiếc, đối với các sàn giao dịch lớn hoặc các mục tiêu có giá trị cao khác, TraderTraitor vẫn có thể gây ra hậu quả nghiêm trọng hơn mong đợi ngay cả khi không sử dụng zero-days. Do đó, cần phải thực hiện các biện pháp phòng ngừa bổ sung để loại bỏ các điểm thất bại đơn lẻ — sao cho một sự xâm nhập đơn lẻ không dẫn đến mất mát tài chính hoàn toàn.

Tuy nhiên, ngay cả khi mọi thứ thất bại, vẫn có hy vọng. FBI có một đội ngũ chuyên nghiệp theo dõi và ngăn chặn các xâm nhập của Triều Tiên và đã thông báo cho các nạn nhân một cách tích cực trong nhiều năm qua. Mới đây, tôi rất vui khi được hỗ trợ đội ngũ đó trong việc kết nối với các mục tiêu Triều Tiên tiềm năng. Vì vậy, để chuẩn bị cho tình huống xấu nhất, hãy đảm bảo bạn có thông tin liên lạc công khai hoặc duy trì mối quan hệ mạnh mẽ trên toàn hệ sinh thái (ví dụ, SEAL 911) để các cảnh báo quan trọng có thể đến với bạn càng nhanh càng tốt thông qua đồ thị xã hội.

免責聲明：

1. Bài viết này được sao chép từ [ ForesightNews]. Chuyển tiêu đề gốc ‘Paradigm: Vạch trần mối đe dọa của nhóm Hacker Bắc Triều Tiên Lazarus Group’. Tất cả bản quyền thuộc về tác giả gốc [.samczsun, Đối tác Nghiên cứu tại Paradigm]. Nếu có bất kỳ ý kiến ​​nào về việc tái in này, vui lòng liên hệGate Learnđội của họ và họ sẽ xử lý nhanh chóng theo các quy trình liên quan.
2. Lưu ý: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không hề tạo thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Mà không đề cập đếnGate.io, việc sao chép, phân phối hoặc đạo văn bản dịch là không được phép.