Vào ngày 11 tháng 6 năm 2025, Hãng thông tấn Kyodo của Nhật Bản đưa tin rằng Thủ tướng Nhật Bản Shigeru Ishiba có kế hoạch đẩy mạnh đàn áp các hoạt động mạng độc hại của Triều Tiên như trộm cắp tiền điện tử tại hội nghị thượng đỉnh G7 ở Canada vào ngày 15-17 tháng 6. Đây sẽ là lần đầu tiên vấn đề trộm cắp tiền điện tử của Triều Tiên được thảo luận tại hội nghị thượng đỉnh G7. ** Theo nhiều nguồn tin của chính phủ Nhật Bản, động thái này nhằm tăng cường các quy định thông qua hợp tác đa quốc gia và cắt đứt quyền truy cập của Triều Tiên vào các cuộc tấn công mạng để có được tiền điện tử bất hợp pháp, được cho là được sử dụng để phát triển vũ khí hủy diệt hàng loạt.
Những vụ án lớn nào mà hacker Triều Tiên đã thực hiện? Đã đánh cắp bao nhiêu Tài sản tiền điện tử? Tại sao Triều Tiên lại giỏi tấn công hacker? Những số tiền này đã được sử dụng ở đâu?
Một, vụ án lớn do hacker Triều Tiên thực hiện
Top 1 :Bybit,14.6 tỷ đô la
Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tài sản tiền điện tử Bybit có trụ sở tại Dubai đã gặp phải vụ việc khoảng 1.46 tỷ USD tài sản mã hóa bị đánh cắp. Báo cáo ban đầu cho thấy, những kẻ tấn công đã sử dụng phần mềm độc hại để lừa đảo sàn giao dịch phê duyệt giao dịch chuyển tiền sang tài khoản của kẻ trộm, đây là vụ trộm tài sản tiền điện tử lớn nhất từ trước đến nay. Công ty Elliptic đã phân tích nhiều yếu tố, bao gồm phân tích con đường rửa tiền của tài sản mã hóa bị đánh cắp, và xác định rằng những kẻ đứng sau vụ trộm Bybit là Nhóm Lazarus của Triều Tiên.
Top 2 :Ronin Network,6.2 triệu đô la
Tháng 3 năm 2022, một chuỗi bên Ethereum được xây dựng cho trò chơi Axie Infinity có thể kiếm tiền ngay lập tức đã bị lợi dụng, đánh cắp 620 triệu đô la Ethereum và USDC. Ronin chỉ có thể khôi phục một phần nhỏ số tiền bị đánh cắp. Cuộc tấn công này được quy cho tổ chức Lazarus Group, được cho là có liên quan đến chính phủ Bắc Triều Tiên.
Top 3 :DMM Bitcoin,3.08 triệu đô la Mỹ
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch Nhật Bản DMM Bitcoin đã bị đánh cắp 4502,9 coin Bitcoin. Vào thời điểm xảy ra sự kiện, số Bitcoin này trị giá 308 triệu USD. Cục Điều tra Liên bang Mỹ, Bộ Quốc phòng và Cảnh sát Nhật Bản cho biết vụ trộm là do những hacker có liên quan đến Triều Tiên thực hiện.
Top 4 :KuCoin,2.75 triệu đô la Mỹ
Vào tháng 9 năm 2020, sàn giao dịch tài sản tiền điện tử KuCoin có trụ sở tại Singapore đã bị đánh cắp tài sản tiền điện tử trị giá 275 triệu USD, bao gồm 127 triệu USD token ERC20, được sử dụng cho hợp đồng thông minh Ethereum. Tuy nhiên, sau đó thông qua việc truy vết trên chuỗi, đã thành công trong việc đóng băng tài sản trị giá 170 triệu USD, các tổ chức như Tether và Circle cũng đã phối hợp để đánh dấu số tiền bị đánh cắp, cuối cùng buộc kẻ hacker phải trả lại một phần số tiền. Nhóm hacker Triều Tiên Lazarus Group bị cáo buộc là thủ phạm của vụ đánh cắp này.
Top 5 :WazirX,2.3 triệu đô la
Vào ngày 18 tháng 7 năm 2024, sàn giao dịch Tài sản tiền điện tử WazirX của Ấn Độ đã chịu thiệt hại 230 triệu USD. Có bằng chứng cho thấy, hacker này có thể là nhóm Lazarus được chính phủ Triều Tiên hỗ trợ, nhóm này đã đổi hầu hết tài sản bị đánh cắp thành Ethereum.
Top 6 :Atomic Wallet,1 triệu đô la Mỹ
Vào tháng 6 năm 2023, người dùng dịch vụ Atomic Wallet đã bị đánh cắp tài sản tiền điện tử trị giá hơn 100 triệu USD, Cục Điều tra Liên bang sau đó xác nhận có liên quan đến tổ chức hacker Triều Tiên Lazarus Group.
Top 7 :Radiant Capital,5000 triệu USD
Vào ngày 16 tháng 10 năm 2024, giao thức cho vay Radiant Capital đã bị đánh cắp khoảng 50 triệu USD. Radiant Capital tuyên bố rằng, kẻ tấn công đã gửi phần mềm độc hại qua Telegram, phần mềm độc hại này được gửi bởi một hacker giả mạo nhà thầu cũ có liên kết với Triều Tiên, chúng tôi tin chắc rằng cuộc tấn công này là do các tác nhân đe dọa liên quan đến Triều Tiên (DPRK) thực hiện.
Top 8 :Stake.com,4100 triệu đô la
Vào tháng 9 năm 2023, sòng bạc trực tuyến và nền tảng cá cược Stake.com đã bị đánh cắp tài sản tiền điện tử trị giá 41 triệu USD, kẻ gây án là nhóm Lazarus.
Top 9 :Upbit, 4100 triệu USD
Tháng 11 năm 2019, Upbit đã bị đánh cắp 342.000 đồng Ethereum, trị giá 41 triệu USD. Cảnh sát đã dựa vào kết quả phân tích địa chỉ IP của Triều Tiên, dòng chảy tài sản ảo, dấu vết sử dụng từ vựng Triều Tiên và bằng chứng thu thập được hợp tác với Cục Điều tra Liên bang Mỹ (FBI) để cho rằng tội phạm do tổ chức hacker Triều Tiên Lazarus và Andariel thực hiện.
Hai, điều tra tổ chức hacker Triều Tiên Lazarus Group
1.Giới thiệu về nhóm Lazarus
Lazarus Group được cho là do chính phủ Triều Tiên điều hành. Mặc dù mọi người biết rất ít về tổ chức này, nhưng các nhà nghiên cứu đã quy kết nhiều cuộc tấn công mạng xảy ra từ năm 2010 cho tổ chức này. Theo người đào thoát Kim Quốc Tùng, đơn vị này được gọi là "Văn phòng liên lạc 414" bên trong Triều Tiên.
Tổ chức này được biết đến với sự kiện tấn công sớm nhất được gọi là "Chiến dịch Trojan", xảy ra từ năm 2009 đến 2012. Đây là một hoạt động gián điệp mạng, sử dụng các cuộc tấn công từ chối dịch vụ phân tán đơn giản (DDoS) nhằm vào chính phủ Hàn Quốc có trụ sở tại Seoul. Họ cũng đã thực hiện các cuộc tấn công vào năm 2011 và 2013. Mặc dù chưa chắc chắn, nhưng họ cũng có thể là những kẻ đứng sau sự kiện tấn công Hàn Quốc vào năm 2007. Sự kiện tấn công nổi tiếng nhất của tổ chức này là cuộc tấn công vào Sony Pictures vào năm 2014. Cuộc tấn công vào Sony Pictures đã sử dụng công nghệ phức tạp hơn, nhấn mạnh rằng tổ chức này đã trở nên ngày càng tiên tiến theo thời gian.
Năm 2015, Tập đoàn Lazarus được cho là đã đánh cắp 12 triệu USD từ một ngân hàng Áo ở Ecuador và 1 triệu USD từ Ngân hàng Tiền Phong ở Việt Nam. Họ cũng nhắm mục tiêu vào các ngân hàng ở Ba Lan và Mexico. Một vụ cướp ngân hàng vào năm 2016, bao gồm một cuộc tấn công vào một ngân hàng Bangladesh đã đánh cắp được 81 triệu đô la, được đổ lỗi cho tổ chức này. Vào năm 2017, Tập đoàn Lazarus được cho là đã đánh cắp 60 triệu USD từ Ngân hàng Quốc tế Viễn Đông của Đài Loan, và mặc dù số tiền thực tế bị đánh cắp là không rõ, nhưng hầu hết số tiền đã được thu hồi.
Nhóm Lazarus cũng đã tạo ra nhiều vụ án khác, xin không nhắc lại ở đây.
2.Nhóm Lazarus làm thế nào để rửa tiền
Quá trình rửa tiền của nhóm Lazarus: Bước đầu tiên là đổi tất cả các mã đã bị đánh cắp thành tài sản blockchain "nguyên sinh", như ETH. Điều này là do các mã có bên phát hành, trong một số trường hợp có thể "đóng băng" ví chứa tài sản bị đánh cắp, trong khi ETH hoặc Bitcoin thì không có cơ quan trung ương nào có thể đóng băng.
Bước thứ hai là "xếp lớp" các khoản tiền bị đánh cắp để cố gắng che giấu đường dẫn giao dịch. Tính minh bạch của blockchain có nghĩa là các đường dẫn giao dịch này có thể được theo dõi, nhưng các chiến lược phân cấp này có thể làm phức tạp quá trình theo dõi, giúp những kẻ rửa tiền có thời gian quý báu để kiếm tiền. Quá trình phân lớp có thể có nhiều hình thức, bao gồm: chuyển tiền qua một số lượng lớn ví tiền điện tử; sử dụng cầu nối chuỗi chéo hoặc sàn giao dịch để chuyển tiền sang các blockchain khác; Sử dụng DEX, dịch vụ hoán đổi token hoặc sàn giao dịch để chuyển đổi giữa các tài sản tiền điện tử khác nhau; Sử dụng "máy trộn tiền xu" như Tornado Cash hoặc Cryptomixer.
Nhóm Lazarus của Triều Tiên là những kẻ rửa tiền tài sản tiền điện tử "chuyên nghiệp" và giàu tài nguyên nhất hiện nay, họ liên tục điều chỉnh công nghệ để tránh bị nhận diện và tịch thu tài sản bị đánh cắp.
Chi tiết có thể xem trong bài viết trên Jinse Finance "Vụ trộm lớn nhất trong lịch sử: Theo dõi dòng tiền của hacker Bybit"
3.Các "chiêu trò" của thành viên Nhóm Lazarus
Các thành viên của tổ chức hacker Bắc Triều Tiên Lazarus Group đã giả mạo danh tính để thành lập hai công ty ma tại bang New Mexico và New York của Hoa Kỳ - Blocknovas LLC và Softglide LLC, lợi dụng việc tuyển dụng giả để phát tán phần mềm độc hại, chuyên tấn công các nhà phát triển tài sản tiền điện tử. Công ty an ninh mạng Silent Push đã tiết lộ rằng những công ty này sử dụng phỏng vấn giả để dụ dỗ nạn nhân, đánh cắp ví mã hóa, mật khẩu và các thông tin nhạy cảm khác, đã khiến nhiều nhà phát triển bị mắc bẫy. Silent Push cho biết đây là một trường hợp hiếm hoi "các hacker Bắc Triều Tiên đăng ký công ty hợp pháp tại Mỹ để thực hiện tấn công mạng."
Ba, Tin tặc Triều Tiên đã đánh cắp bao nhiêu tiền?
Nhóm chuyên gia của Liên Hợp Quốc điều tra việc Triều Tiên lẩn tránh lệnh trừng phạt ước tính rằng Triều Tiên đã đánh cắp hơn 3 tỷ đô la Tài sản tiền điện tử kể từ năm 2017.
Theo báo cáo của Chainalysis, vào năm 2023, các hacker liên quan đến Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 sự kiện; vào năm 2024, con số này đã tăng lên 1,34 tỷ USD trong 47 sự kiện, giá trị bị đánh cắp tăng 102,88%. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm đó và chiếm 20% tổng số sự kiện.
Năm 2024, tần suất các cuộc tấn công có giá trị từ 50 triệu đến 100 triệu USD và trên 100 triệu USD cao hơn nhiều so với năm 2023, điều này cho thấy Triều Tiên đang ngày càng làm tốt hơn và nhanh hơn trong các cuộc tấn công quy mô lớn. Điều này tương phản rõ rệt với hai năm trước, khi lợi nhuận mỗi lần của họ thường dưới 50 triệu USD.
Triều Tiên chịu trách nhiệm về hầu hết các cuộc tấn công quy mô lớn trong ba năm qua. Thú vị là, số tiền bị tấn công của các hacker Triều Tiên tương đối thấp, đặc biệt là mật độ các cuộc tấn công có giá trị khoảng 10.000 đô la cũng đang gia tăng.
Bốn, tiền đã được sử dụng ở đâu?
Triều Tiên chưa bao giờ thừa nhận là kẻ đứng sau Nhóm Lazarus, nhưng được cho là quốc gia duy nhất trên thế giới sử dụng sức mạnh hacker để thu lợi kinh tế.
Năm 2023, một cơ quan giám sát của Liên Hợp Quốc báo cáo rằng, trộm cắp mạng chiếm một nửa doanh thu tổng hợp của quốc gia này. Được cho là, phần lớn doanh thu được sử dụng cho chương trình vũ khí của họ.
Trong mười năm qua, Triều Tiên đã đưa tội phạm nhằm mục đích lợi ích kinh tế vào chiến lược mạng tấn công đang phát triển của mình. Theo CNBC, các cuộc tấn công mạng này chủ yếu được chỉ huy bởi cơ quan tình báo đối ngoại chính của Triều Tiên - Cục Tình báo Tổng hợp (Reconnaissance General Bureau), và số tiền bị đánh cắp được sử dụng để tài trợ cho chương trình vũ khí hạt nhân của nước này.
Năm 2020, Mỹ đã đưa những người Triều Tiên bị nghi ngờ tham gia nhóm Lazarus vào danh sách truy nã mạng. Nhưng trừ khi họ rời khỏi đất nước của mình, khả năng bị bắt của những người này là rất nhỏ.
Năm, Tại sao Triều Tiên lại giỏi tấn công hack?
Trong một quốc gia mà hầu hết mọi người chưa tiếp xúc với internet, tại sao lại có thể đào tạo ra nhiều hacker tinh vi như vậy?
Năm 2016, đại sứ từng đóng tại London của Bình Nhưỡng, Thái Vĩnh Hạo, đã chỉ ra rằng: Kim Jong Un đã dành phần lớn thời gian của mình vào việc chơi trò chơi điện tử trong thời gian du học ở Thụy Sĩ, nhưng anh cũng đã nhận thấy tầm quan trọng của máy tính trong cuộc sống hiện đại. Do đó, sau khi trở về nước cùng với em trai Kim Jong Chul, đã truyền cảm hứng cho cha của họ. "Kim Jong Il nhanh chóng nhận ra những lợi thế của máy tính và mạng internet."
Kim Jong Il đã nhanh chóng thành lập một trường học chuyên dạy về gián điệp công nghệ cao, tình báo và chiến tranh. Năm năm sau, đã gặt hái được những thành quả phong phú: các hacker đã đánh cắp các kế hoạch quân sự tối mật của Hàn Quốc, trong đó bao gồm các tài liệu mô tả khả năng nổ ra chiến tranh giữa Triều Tiên và các nước láng giềng phía bắc, cũng như một âm mưu ám sát Kim Jong Un để "chặt đầu" Triều Tiên.
Hiện nay, lực lượng mạng của Triều Tiên được cho là đã vượt quá 8000 người, trong đó phần lớn là những sinh viên thiên tài toán học được tuyển chọn kỹ lưỡng từ các trường học. Ở Triều Tiên, họ thuộc về một "Cục tình báo" nghe có vẻ vô hại, nhưng trong thực tế, các mật danh mạng của họ bao gồm Lazarus, BeagleBoyz, Hidden Cobra và APT38 ("APT" đại diện cho "mối đe dọa liên tục cao cấp").
Những sinh viên này đã trải qua một thời gian dài huấn luyện cường độ cao, nhưng họ cũng có thể nhận được một số đặc quyền - bao gồm việc miễn tham gia vào các chương trình lao động quốc doanh, các phúc lợi vật chất như ô tô và nhà ở thoải mái, cũng như cơ hội du lịch nước ngoài hiếm hoi, chẳng hạn như tham gia các cuộc thi toán học toàn cầu như Olympic Toán học Quốc tế.
Tuy nhiên, hành động hiệu quả của họ không chỉ bắt nguồn từ chuyên môn kỹ thuật tuyệt vời. Hầu hết các hành vi trộm cắp trực tuyến cũng khai thác điểm yếu của con người, chẳng hạn như gửi email "lừa đảo", hoặc kết bạn với nhân viên, dụ dỗ họ tiết lộ mật khẩu.
Giáo sư Dorith Dole của công ty an ninh mạng Check Point cho biết: “Chế độ và nền kinh tế của Triều Tiên rất khép kín, vì vậy họ đã tạo ra một ngành công nghiệp hacker và rửa tiền thành công, họ không quan tâm đến những ấn tượng tiêu cực mà tội phạm mạng mang lại.”
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Khám phá vụ án mã hóa chấn động mà các hacker Triều Tiên đã thực hiện: Tại sao lại mạnh như vậy? Tiền chảy về đâu?
Vào ngày 11 tháng 6 năm 2025, Hãng thông tấn Kyodo của Nhật Bản đưa tin rằng Thủ tướng Nhật Bản Shigeru Ishiba có kế hoạch đẩy mạnh đàn áp các hoạt động mạng độc hại của Triều Tiên như trộm cắp tiền điện tử tại hội nghị thượng đỉnh G7 ở Canada vào ngày 15-17 tháng 6. Đây sẽ là lần đầu tiên vấn đề trộm cắp tiền điện tử của Triều Tiên được thảo luận tại hội nghị thượng đỉnh G7. ** Theo nhiều nguồn tin của chính phủ Nhật Bản, động thái này nhằm tăng cường các quy định thông qua hợp tác đa quốc gia và cắt đứt quyền truy cập của Triều Tiên vào các cuộc tấn công mạng để có được tiền điện tử bất hợp pháp, được cho là được sử dụng để phát triển vũ khí hủy diệt hàng loạt.
Những vụ án lớn nào mà hacker Triều Tiên đã thực hiện? Đã đánh cắp bao nhiêu Tài sản tiền điện tử? Tại sao Triều Tiên lại giỏi tấn công hacker? Những số tiền này đã được sử dụng ở đâu?
Một, vụ án lớn do hacker Triều Tiên thực hiện
Top 1 :Bybit,14.6 tỷ đô la
Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tài sản tiền điện tử Bybit có trụ sở tại Dubai đã gặp phải vụ việc khoảng 1.46 tỷ USD tài sản mã hóa bị đánh cắp. Báo cáo ban đầu cho thấy, những kẻ tấn công đã sử dụng phần mềm độc hại để lừa đảo sàn giao dịch phê duyệt giao dịch chuyển tiền sang tài khoản của kẻ trộm, đây là vụ trộm tài sản tiền điện tử lớn nhất từ trước đến nay. Công ty Elliptic đã phân tích nhiều yếu tố, bao gồm phân tích con đường rửa tiền của tài sản mã hóa bị đánh cắp, và xác định rằng những kẻ đứng sau vụ trộm Bybit là Nhóm Lazarus của Triều Tiên.
Top 2 :Ronin Network,6.2 triệu đô la
Tháng 3 năm 2022, một chuỗi bên Ethereum được xây dựng cho trò chơi Axie Infinity có thể kiếm tiền ngay lập tức đã bị lợi dụng, đánh cắp 620 triệu đô la Ethereum và USDC. Ronin chỉ có thể khôi phục một phần nhỏ số tiền bị đánh cắp. Cuộc tấn công này được quy cho tổ chức Lazarus Group, được cho là có liên quan đến chính phủ Bắc Triều Tiên.
Top 3 :DMM Bitcoin,3.08 triệu đô la Mỹ
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch Nhật Bản DMM Bitcoin đã bị đánh cắp 4502,9 coin Bitcoin. Vào thời điểm xảy ra sự kiện, số Bitcoin này trị giá 308 triệu USD. Cục Điều tra Liên bang Mỹ, Bộ Quốc phòng và Cảnh sát Nhật Bản cho biết vụ trộm là do những hacker có liên quan đến Triều Tiên thực hiện.
Top 4 :KuCoin,2.75 triệu đô la Mỹ
Vào tháng 9 năm 2020, sàn giao dịch tài sản tiền điện tử KuCoin có trụ sở tại Singapore đã bị đánh cắp tài sản tiền điện tử trị giá 275 triệu USD, bao gồm 127 triệu USD token ERC20, được sử dụng cho hợp đồng thông minh Ethereum. Tuy nhiên, sau đó thông qua việc truy vết trên chuỗi, đã thành công trong việc đóng băng tài sản trị giá 170 triệu USD, các tổ chức như Tether và Circle cũng đã phối hợp để đánh dấu số tiền bị đánh cắp, cuối cùng buộc kẻ hacker phải trả lại một phần số tiền. Nhóm hacker Triều Tiên Lazarus Group bị cáo buộc là thủ phạm của vụ đánh cắp này.
Top 5 :WazirX,2.3 triệu đô la
Vào ngày 18 tháng 7 năm 2024, sàn giao dịch Tài sản tiền điện tử WazirX của Ấn Độ đã chịu thiệt hại 230 triệu USD. Có bằng chứng cho thấy, hacker này có thể là nhóm Lazarus được chính phủ Triều Tiên hỗ trợ, nhóm này đã đổi hầu hết tài sản bị đánh cắp thành Ethereum.
Top 6 :Atomic Wallet,1 triệu đô la Mỹ
Vào tháng 6 năm 2023, người dùng dịch vụ Atomic Wallet đã bị đánh cắp tài sản tiền điện tử trị giá hơn 100 triệu USD, Cục Điều tra Liên bang sau đó xác nhận có liên quan đến tổ chức hacker Triều Tiên Lazarus Group.
Top 7 :Radiant Capital,5000 triệu USD
Vào ngày 16 tháng 10 năm 2024, giao thức cho vay Radiant Capital đã bị đánh cắp khoảng 50 triệu USD. Radiant Capital tuyên bố rằng, kẻ tấn công đã gửi phần mềm độc hại qua Telegram, phần mềm độc hại này được gửi bởi một hacker giả mạo nhà thầu cũ có liên kết với Triều Tiên, chúng tôi tin chắc rằng cuộc tấn công này là do các tác nhân đe dọa liên quan đến Triều Tiên (DPRK) thực hiện.
Top 8 :Stake.com,4100 triệu đô la
Vào tháng 9 năm 2023, sòng bạc trực tuyến và nền tảng cá cược Stake.com đã bị đánh cắp tài sản tiền điện tử trị giá 41 triệu USD, kẻ gây án là nhóm Lazarus.
Top 9 :Upbit, 4100 triệu USD
Tháng 11 năm 2019, Upbit đã bị đánh cắp 342.000 đồng Ethereum, trị giá 41 triệu USD. Cảnh sát đã dựa vào kết quả phân tích địa chỉ IP của Triều Tiên, dòng chảy tài sản ảo, dấu vết sử dụng từ vựng Triều Tiên và bằng chứng thu thập được hợp tác với Cục Điều tra Liên bang Mỹ (FBI) để cho rằng tội phạm do tổ chức hacker Triều Tiên Lazarus và Andariel thực hiện.
Hai, điều tra tổ chức hacker Triều Tiên Lazarus Group
1.Giới thiệu về nhóm Lazarus
Lazarus Group được cho là do chính phủ Triều Tiên điều hành. Mặc dù mọi người biết rất ít về tổ chức này, nhưng các nhà nghiên cứu đã quy kết nhiều cuộc tấn công mạng xảy ra từ năm 2010 cho tổ chức này. Theo người đào thoát Kim Quốc Tùng, đơn vị này được gọi là "Văn phòng liên lạc 414" bên trong Triều Tiên.
Tổ chức này được biết đến với sự kiện tấn công sớm nhất được gọi là "Chiến dịch Trojan", xảy ra từ năm 2009 đến 2012. Đây là một hoạt động gián điệp mạng, sử dụng các cuộc tấn công từ chối dịch vụ phân tán đơn giản (DDoS) nhằm vào chính phủ Hàn Quốc có trụ sở tại Seoul. Họ cũng đã thực hiện các cuộc tấn công vào năm 2011 và 2013. Mặc dù chưa chắc chắn, nhưng họ cũng có thể là những kẻ đứng sau sự kiện tấn công Hàn Quốc vào năm 2007. Sự kiện tấn công nổi tiếng nhất của tổ chức này là cuộc tấn công vào Sony Pictures vào năm 2014. Cuộc tấn công vào Sony Pictures đã sử dụng công nghệ phức tạp hơn, nhấn mạnh rằng tổ chức này đã trở nên ngày càng tiên tiến theo thời gian.
Năm 2015, Tập đoàn Lazarus được cho là đã đánh cắp 12 triệu USD từ một ngân hàng Áo ở Ecuador và 1 triệu USD từ Ngân hàng Tiền Phong ở Việt Nam. Họ cũng nhắm mục tiêu vào các ngân hàng ở Ba Lan và Mexico. Một vụ cướp ngân hàng vào năm 2016, bao gồm một cuộc tấn công vào một ngân hàng Bangladesh đã đánh cắp được 81 triệu đô la, được đổ lỗi cho tổ chức này. Vào năm 2017, Tập đoàn Lazarus được cho là đã đánh cắp 60 triệu USD từ Ngân hàng Quốc tế Viễn Đông của Đài Loan, và mặc dù số tiền thực tế bị đánh cắp là không rõ, nhưng hầu hết số tiền đã được thu hồi.
Nhóm Lazarus cũng đã tạo ra nhiều vụ án khác, xin không nhắc lại ở đây.
2.Nhóm Lazarus làm thế nào để rửa tiền
Quá trình rửa tiền của nhóm Lazarus: Bước đầu tiên là đổi tất cả các mã đã bị đánh cắp thành tài sản blockchain "nguyên sinh", như ETH. Điều này là do các mã có bên phát hành, trong một số trường hợp có thể "đóng băng" ví chứa tài sản bị đánh cắp, trong khi ETH hoặc Bitcoin thì không có cơ quan trung ương nào có thể đóng băng.
Bước thứ hai là "xếp lớp" các khoản tiền bị đánh cắp để cố gắng che giấu đường dẫn giao dịch. Tính minh bạch của blockchain có nghĩa là các đường dẫn giao dịch này có thể được theo dõi, nhưng các chiến lược phân cấp này có thể làm phức tạp quá trình theo dõi, giúp những kẻ rửa tiền có thời gian quý báu để kiếm tiền. Quá trình phân lớp có thể có nhiều hình thức, bao gồm: chuyển tiền qua một số lượng lớn ví tiền điện tử; sử dụng cầu nối chuỗi chéo hoặc sàn giao dịch để chuyển tiền sang các blockchain khác; Sử dụng DEX, dịch vụ hoán đổi token hoặc sàn giao dịch để chuyển đổi giữa các tài sản tiền điện tử khác nhau; Sử dụng "máy trộn tiền xu" như Tornado Cash hoặc Cryptomixer.
Nhóm Lazarus của Triều Tiên là những kẻ rửa tiền tài sản tiền điện tử "chuyên nghiệp" và giàu tài nguyên nhất hiện nay, họ liên tục điều chỉnh công nghệ để tránh bị nhận diện và tịch thu tài sản bị đánh cắp.
Chi tiết có thể xem trong bài viết trên Jinse Finance "Vụ trộm lớn nhất trong lịch sử: Theo dõi dòng tiền của hacker Bybit"
3.Các "chiêu trò" của thành viên Nhóm Lazarus
Các thành viên của tổ chức hacker Bắc Triều Tiên Lazarus Group đã giả mạo danh tính để thành lập hai công ty ma tại bang New Mexico và New York của Hoa Kỳ - Blocknovas LLC và Softglide LLC, lợi dụng việc tuyển dụng giả để phát tán phần mềm độc hại, chuyên tấn công các nhà phát triển tài sản tiền điện tử. Công ty an ninh mạng Silent Push đã tiết lộ rằng những công ty này sử dụng phỏng vấn giả để dụ dỗ nạn nhân, đánh cắp ví mã hóa, mật khẩu và các thông tin nhạy cảm khác, đã khiến nhiều nhà phát triển bị mắc bẫy. Silent Push cho biết đây là một trường hợp hiếm hoi "các hacker Bắc Triều Tiên đăng ký công ty hợp pháp tại Mỹ để thực hiện tấn công mạng."
Ba, Tin tặc Triều Tiên đã đánh cắp bao nhiêu tiền?
Nhóm chuyên gia của Liên Hợp Quốc điều tra việc Triều Tiên lẩn tránh lệnh trừng phạt ước tính rằng Triều Tiên đã đánh cắp hơn 3 tỷ đô la Tài sản tiền điện tử kể từ năm 2017.
Theo báo cáo của Chainalysis, vào năm 2023, các hacker liên quan đến Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 sự kiện; vào năm 2024, con số này đã tăng lên 1,34 tỷ USD trong 47 sự kiện, giá trị bị đánh cắp tăng 102,88%. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm đó và chiếm 20% tổng số sự kiện.
Năm 2024, tần suất các cuộc tấn công có giá trị từ 50 triệu đến 100 triệu USD và trên 100 triệu USD cao hơn nhiều so với năm 2023, điều này cho thấy Triều Tiên đang ngày càng làm tốt hơn và nhanh hơn trong các cuộc tấn công quy mô lớn. Điều này tương phản rõ rệt với hai năm trước, khi lợi nhuận mỗi lần của họ thường dưới 50 triệu USD.
Triều Tiên chịu trách nhiệm về hầu hết các cuộc tấn công quy mô lớn trong ba năm qua. Thú vị là, số tiền bị tấn công của các hacker Triều Tiên tương đối thấp, đặc biệt là mật độ các cuộc tấn công có giá trị khoảng 10.000 đô la cũng đang gia tăng.
Bốn, tiền đã được sử dụng ở đâu?
Triều Tiên chưa bao giờ thừa nhận là kẻ đứng sau Nhóm Lazarus, nhưng được cho là quốc gia duy nhất trên thế giới sử dụng sức mạnh hacker để thu lợi kinh tế.
Năm 2023, một cơ quan giám sát của Liên Hợp Quốc báo cáo rằng, trộm cắp mạng chiếm một nửa doanh thu tổng hợp của quốc gia này. Được cho là, phần lớn doanh thu được sử dụng cho chương trình vũ khí của họ.
Trong mười năm qua, Triều Tiên đã đưa tội phạm nhằm mục đích lợi ích kinh tế vào chiến lược mạng tấn công đang phát triển của mình. Theo CNBC, các cuộc tấn công mạng này chủ yếu được chỉ huy bởi cơ quan tình báo đối ngoại chính của Triều Tiên - Cục Tình báo Tổng hợp (Reconnaissance General Bureau), và số tiền bị đánh cắp được sử dụng để tài trợ cho chương trình vũ khí hạt nhân của nước này.
Năm 2020, Mỹ đã đưa những người Triều Tiên bị nghi ngờ tham gia nhóm Lazarus vào danh sách truy nã mạng. Nhưng trừ khi họ rời khỏi đất nước của mình, khả năng bị bắt của những người này là rất nhỏ.
Năm, Tại sao Triều Tiên lại giỏi tấn công hack?
Trong một quốc gia mà hầu hết mọi người chưa tiếp xúc với internet, tại sao lại có thể đào tạo ra nhiều hacker tinh vi như vậy?
Năm 2016, đại sứ từng đóng tại London của Bình Nhưỡng, Thái Vĩnh Hạo, đã chỉ ra rằng: Kim Jong Un đã dành phần lớn thời gian của mình vào việc chơi trò chơi điện tử trong thời gian du học ở Thụy Sĩ, nhưng anh cũng đã nhận thấy tầm quan trọng của máy tính trong cuộc sống hiện đại. Do đó, sau khi trở về nước cùng với em trai Kim Jong Chul, đã truyền cảm hứng cho cha của họ. "Kim Jong Il nhanh chóng nhận ra những lợi thế của máy tính và mạng internet."
Kim Jong Il đã nhanh chóng thành lập một trường học chuyên dạy về gián điệp công nghệ cao, tình báo và chiến tranh. Năm năm sau, đã gặt hái được những thành quả phong phú: các hacker đã đánh cắp các kế hoạch quân sự tối mật của Hàn Quốc, trong đó bao gồm các tài liệu mô tả khả năng nổ ra chiến tranh giữa Triều Tiên và các nước láng giềng phía bắc, cũng như một âm mưu ám sát Kim Jong Un để "chặt đầu" Triều Tiên.
Hiện nay, lực lượng mạng của Triều Tiên được cho là đã vượt quá 8000 người, trong đó phần lớn là những sinh viên thiên tài toán học được tuyển chọn kỹ lưỡng từ các trường học. Ở Triều Tiên, họ thuộc về một "Cục tình báo" nghe có vẻ vô hại, nhưng trong thực tế, các mật danh mạng của họ bao gồm Lazarus, BeagleBoyz, Hidden Cobra và APT38 ("APT" đại diện cho "mối đe dọa liên tục cao cấp").
Những sinh viên này đã trải qua một thời gian dài huấn luyện cường độ cao, nhưng họ cũng có thể nhận được một số đặc quyền - bao gồm việc miễn tham gia vào các chương trình lao động quốc doanh, các phúc lợi vật chất như ô tô và nhà ở thoải mái, cũng như cơ hội du lịch nước ngoài hiếm hoi, chẳng hạn như tham gia các cuộc thi toán học toàn cầu như Olympic Toán học Quốc tế.
Tuy nhiên, hành động hiệu quả của họ không chỉ bắt nguồn từ chuyên môn kỹ thuật tuyệt vời. Hầu hết các hành vi trộm cắp trực tuyến cũng khai thác điểm yếu của con người, chẳng hạn như gửi email "lừa đảo", hoặc kết bạn với nhân viên, dụ dỗ họ tiết lộ mật khẩu.
Giáo sư Dorith Dole của công ty an ninh mạng Check Point cho biết: “Chế độ và nền kinh tế của Triều Tiên rất khép kín, vì vậy họ đã tạo ra một ngành công nghiệp hacker và rửa tiền thành công, họ không quan tâm đến những ấn tượng tiêu cực mà tội phạm mạng mang lại.”