Các hacker Triều Tiên đã lặng lẽ xâm nhập ngành blockchain từ việc giả mạo danh tính để tham gia các dự án lớn đến các vụ hack trị giá hàng triệu USD.
Vạch trần cách hacker Triều Tiên thâm nhập và rút ruột ngành crypto. Ảnh: PCMag
Quá trình thâm nhập của Triều Tiên vào ngành crypto
Trong những năm gần đây, lĩnh vực blockchain đã trở thành miếng mồi béo bở cho các nhóm hacker quốc tế. Nhưng không ai ngờ rằng, chính Triều Tiên – quốc gia bị cấm vận nghiêm ngặt – lại đứng sau hàng loạt vụ tấn công tinh vi, từ việc giả mạo thông tin để xin vào làm các dự án crypto lớn đến các vụ hack chiếm đoạt hàng triệu USD tài sản crypto, biến ngành này thành công cụ tài trợ cho chương trình vũ khí hạt nhân của quốc gia này.
Những lập trình viên Triều Tiên thường sử dụng danh tính giả, nộp hồ sơ xin việc với thông tin ảo nhưng rất tinh vi, bao gồm các GitHub với lịch sử đóng góp mã nguồn mạnh mẽ, lý lịch làm việc phong phú và đầy đủ giấy tờ xác minh KYC giả mạo. Mục tiêu của họ không chỉ là tham gia phát triển các dự án blockchain mà còn nhằm đánh cắp tài sản và chuyển tiền về Triều Tiên.
Quá trình thâm nhập này đã bắt đầu từ nhiều năm trước nhưng chỉ thực sự được chú ý sau khi cuộc điều tra từ các chuyên gia bảo mật như ZachXBT và CoinDesk vạch trần quy mô của mạng lưới này.
Truflation, MISO và nhiều dự án khác vô tình thuê nhầm nhân viên Triều Tiên
Một trong những trường hợp đáng chú ý nhất về sự thâm nhập của lập trình viên Triều Tiên là tại Truflation, dự án cung cấp giải pháp dự báo tài chính trên blockchain. Vào năm 2023, Truflation vô tình tuyển dụng nhiều lập trình viên Triều Tiên mà không hề hay biết.
Theo lời kể của nhà sáng lập Truflation Stefan Rust, trong giai đoạn đầu phát triển, công ty luôn tìm kiếm những lập trình viên tài năng từ khắp nơi trên thế giới. Những ứng viên từ Nhật Bản, Canada, Singapore đã nộp đơn và nhanh chóng vượt qua quy trình tuyển dụng. Một trong số đó là lập trình viên tự xưng “Ryuhei” đến từ Nhật Bản. Với lý lịch ấn tượng và nhiều đóng góp trên GitHub, “Ryuhei” nhanh chóng được tuyển dụng vào đội ngũ của Truflation.
Tuy nhiên, không lâu sau khi Ryuhei bắt đầu công việc, Rust bắt đầu nhận thấy những dấu hiệu bất thường. Trong một cuộc trò chuyện, lập trình viên này bất ngờ cho biết anh ta vừa trải qua một trận động đất ở Nhật Bản. Rust nhanh chóng kiểm tra thông tin và phát hiện rằng không có bất kỳ trận động đất nào diễn ra tại Nhật vào thời điểm đó.
Những nghi ngờ tiếp tục gia tăng khi Ryuhei bắt đầu bỏ lỡ nhiều cuộc gọi quan trọng, và khi anh ta xuất hiện, giọng nói của anh ta đã thay đổi, không còn giống người Nhật nữa. Rust chia sẻ: “Người mà tôi đang nói chuyện sau đó rõ ràng không phải là Ryuhei ban đầu, mà là một người hoàn toàn khác.”
Vấn đề trở nên nghiêm trọng hơn khi Rust phát hiện không chỉ có Ryuhei mà còn bốn lập trình viên khác cũng đã được thuê vào Truflation từ các địa điểm khác nhau như Montreal, Vancouver, Houston và Singapore. Tất cả họ, sau khi được kiểm tra kỹ lưỡng, đều bị phát hiện là người Triều Tiên, sử dụng danh tính giả.
Giấy phép lái xe giả mạo được gửi cho Truflation. Nguồn: Coindesk
Sau khi phát hiện sự thật này, Rust nhanh chóng sa thải các lập trình viên và tiến hành kiểm tra an ninh toàn diện mã nguồn của Truflation. Nhưng Truflation sau đó trở thành mục tiêu của một cuộc tấn công với hơn 5 triệu USD bị đánh cắp từ ví blockchain cá nhân của Rust. Dù không thể khẳng định cuộc tấn công này có liên quan trực tiếp đến các lập trình viên Triều Tiên hay không, nhưng thời điểm xảy ra ngay sau khi các nhân viên Triều Tiên bị phát hiện trùng với lúc dự án phải đối mặt với những thiệt hại nặng nề cả về tài chính và danh tiếng.
Vụ hack nền tảng launchpad MISO của SushiSwap vào tháng 09/2021, gây thiệt hại 3 triệu USD cũng là một ví dụ tiêu biểu về quá trình giả mạo của hacker Triều Tiên tham gia vào các dự án blockchain. Nguyên nhân của vụ hack được truy ra là do hai lập trình viên tự xưng là “Anthony Keller” và “Sava Grujic” – cả hai đều là những tên giả mạo được sử dụng bởi các hacker Triều Tiên.
Keller và Grujic đã vượt qua quá trình tuyển dụng nhờ hồ sơ ấn tượng, bao gồm kinh nghiệm làm việc tại các dự án nổi tiếng như Yearn Finance. Tuy nhiên, sau khi được SushiSwap thuê để phát triển MISO, họ đã cài đặt mã độc vào nền tảng này. Bằng cách lợi dụng quyền truy cập mã nguồn, họ bí mật thêm mã chuyển hướng các khoản tiền từ MISO vào ví của mình.
CV xin việc của Sava Grujic. Nguồn: CoinDesk
CV xin việc của Anthony Keller. Nguồn: CoinDesk
CTO của SushiSwap Joseph Delong vào thời điểm đó đã nhanh chóng truy ra mã độc và phát hiện hai nhân viên trên đã thực hiện vụ tấn công. Hai lập trình viên này đã nhanh chóng xóa tài khoản và biến mất khỏi nền tảng. Khi SushiSwap đe dọa báo cáo vụ việc cho FBI, họ đã trả lại toàn bộ số tiền bị đánh cắp.
Qua điều tra sâu hơn, các điều tra viên của CoinDesk phát hiện rằng các ví tiền mã hóa liên kết với Keller và Grujic đều có dấu vết gửi tiền về cho các tài khoản blockchain thuộc Triều Tiên, trong đó có “Jun Kai” – một lập trình viên khác đã được phát hiện liên quan đến các vụ tấn công tương tự.
Thậm chí, cơ chế Liquid Staking Module (LSM) của Cosmos Hub cũng không thoát khỏi sự kiểm soát từ phía Triều Tiên. LSM, vốn được thiết kế nhằm kiểm soát và giới hạn tỷ lệ staking thanh khoản trong mạng lưới Cosmos, đã trở thành mục tiêu của chiến dịch thâm nhập tinh vi. Vụ việc nghiêm trọng đến mức dự án Cosmos Hub buộc phải liên hệ trực tiếp với FBI để giải quyết các vấn đề an ninh phát sinh và tìm cách ngăn chặn tác động tiêu cực của vụ việc này.
According to a new report:
The @cosmoshub Liquid Staking Module (LSM) was developed by North Korean DFRK agents.In April 2023, weeks after @zmanian had contact with FBI regarding the devs, the LSM was proposed as a “Regulated and Efficient” solution…https://t.co/CBBM2SkO7K https://t.co/WP2DRxXNHQ pic.twitter.com/15sjujd8KB
— Ray Raspberry (@RayRaspberry1) October 2, 2024
Hacker Triều Tiên có mặt trong nhiều vụ tấn công giao thức khác nhau
Không chỉ xâm nhập các dự án thông qua danh tính giả, hacker Triều Tiên còn tham gia vào nhiều vụ tấn công lớn trong ngành crypto. Một trong những nhóm hacker nổi bật nhất là Lazarus Group. Nhóm tin tặc này được cho là kẻ chủ mưu của nhiều sự cố bảo mật như là Ronin, Orbit Chain, CoinEx, Stake, Atomic Wallet, Harmony, DMM Bitcoin,… và mới đây nhất là sàn WazirX thất thoát hơn 230 triệu USD. Ước tính, nhóm này đã bỏ túi hơn 3 tỷ USD trong 3 năm qua, theo báo cáo của công ty an ninh mạng Recorded Future.
Thám tử on-chain ZachXBT gần đây đã vạch trần vụ rug pull mà nhóm hacker Triều Tiên đứng sau trị giá 1,3 triệu USD từ một dự án blockchain vào năm 2024.’
1/ Recently a team reached out to me for assistance after $1.3M was stolen from the treasury after malicious code had been pushed.
Unbeknownst to the team they had hired multiple DPRK IT workers as devs who were using fake identities.
I then uncovered 25+ crypto projects with… pic.twitter.com/W7SgY97Rd8
— ZachXBT (@zachxbt) August 15, 2024
Có thể thấy, các nhóm hacker Triều Tiên thường lợi dụng lỗ hổng trong mã nguồn để chèn mã độc vào hệ thống, sau đó thực hiện chuyển tiền qua nhiều blockchain trước khi rút tiền về các địa chỉ ví cá nhân. Quá trình này bao gồm việc chuyển tiền từ nhiều blockchain khác nhau, sau đó sử dụng Tornado Cash để ẩn danh, chuyển tiền qua các ví trung gian khiến giao dịch khó truy vết.
Từ các ví trung gian, lượng tiền mã hoá này được chuyển đến các địa chỉ blockchain liên quan đến các cá nhân hoặc tổ chức thuộc chính quyền Triều Tiên, đặc biệt là những cá nhân bị cấm vận bởi Văn phòng Kiểm soát Tài sản Nước ngoài Hoa Kỳ (OFAC) như Kim Sang Man và Sim Hyon Sop. Các giao dịch này thường đi qua nhiều quốc gia, chẳng hạn như Nga hoặc Lào, nơi các đại diện của Triều Tiên hoạt động dưới vỏ bọc các công ty IT để tiếp tục chuyển tiền về nước.
Các biện pháp ngăn chặn từ chính quyền
Để đối phó với mối đe dọa này, nhiều chính phủ và tổ chức quốc tế đã tăng cường cảnh báo và đưa ra các biện pháp mạnh mẽ nhằm ngăn chặn sự xâm nhập của các hacker Triều Tiên.
Hoa Kỳ là quốc gia đi đầu trong việc đối phó với các mối đe dọa từ Triều Tiên, đặc biệt là trong lĩnh vực blockchain. Từ năm 2016, Bộ Tài chính Hoa Kỳ, thông qua Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC), đã ban hành lệnh cấm vận đối với các cá nhân và tổ chức có liên quan đến Triều Tiên bao gồm các nhà phát triển IT và các địa chỉ ví blockchain bị nghi ngờ. Thậm chí, Bộ Tài chính Mỹ còn từng trừng phạt ví Binance thuộc sở hữu của Triều Tiên và cáo buộc Tornado Cash “rửa tiền” cho chương trình hạt nhân của quốc gia này,
Theo OFAC, nhiều hacker Triều Tiên đã sử dụng danh tính giả để thâm nhập vào các công ty công nghệ và crypto. Các giao dịch tài chính và blockchain liên quan đến những hacker này đều bị theo dõi chặt chẽ. Chính phủ Hoa Kỳ đã yêu cầu các công ty công nghệ cần phải cẩn trọng hơn trong việc kiểm tra lý lịch và danh tính của các lập trình viên nước ngoài, đồng thời cảnh báo rằng bất kỳ giao dịch nào liên quan đến những cá nhân bị liệt vào danh sách trừng phạt đều sẽ bị điều tra và xử lý theo pháp luật.
Liên Hợp Quốc, thông qua Hội đồng Bảo an, đã ban hành nhiều nghị quyết trừng phạt Triều Tiên từ năm 2017 để đối phó với mối đe dọa hạt nhân và các hoạt động tài trợ cho chương trình vũ khí hủy diệt của nước này. Những nghị quyết này cấm mọi quốc gia thành viên của Liên Hợp Quốc thực hiện các giao dịch tài chính hoặc thương mại với các cá nhân, tổ chức có liên hệ với Triều Tiên. Các lệnh trừng phạt này bao gồm cả việc cấm tuyển dụng các nhà phát triển IT từ Triều Tiên và ngăn chặn dòng tiền bất hợp pháp chảy về nước này.
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!
Comments (No)