Triều Tiên bị tố sử dụng tiền điện tử từ Lazarus Group để phát triển hạt nhân

Chương trình vũ khí hạt nhân của Triều Tiên không còn phụ thuộc vào xuất khẩu truyền thống – giờ đây, nó được hỗ trợ bởi các vụ trộm tiền điện tử toàn cầu. Ngày 18/7/2024, Lazarus Group – nhóm hacker tinh nhuệ được chính quyền Bình Nhưỡng hậu thuẫn – đã thực hiện một trong những vụ tấn công lớn nhất lịch sử tiền mã hóa, nhắm vào sàn WazirX của Ấn Độ.

Trong vòng hơn 60 phút, nhóm đã lấy đi hơn 200 triệu USD và xóa sạch dấu vết trước khi hệ thống an ninh của sàn kịp phản ứng. Vụ tấn công được tổ chức như một cuộc hành quân chiến thuật, với độ tinh vi khiến cả ngành an ninh mạng rúng động. Đây chỉ là một phần trong chuỗi hoạt động quốc tế của Lazarus Group.

Trong 10 năm qua, nhóm này đã chiếm đoạt ít nhất 6 tỷ USD từ các nền tảng tiền mã hóa – trở thành lực lượng hack nguy hiểm nhất thế giới. Theo Wall Street Journal, những khoản tiền này được chuyển hóa thành nguồn tài trợ chính cho các chương trình phát triển hạt nhân của Triều Tiên.

Lazarus: Tinh hoa công nghệ phục vụ quyền lực tuyệt đối

Benedict Hamilton, CEO của công ty điều tra số Kroll – đơn vị hợp tác với WazirX – cho rằng cuộc tấn công được lập trình và vận hành với tốc độ cho thấy hệ thống rửa tiền đã sẵn sàng trước đó, giúp Lazarus rút tiền mặt chỉ trong vài phút.

Do ảnh hưởng nghiêm trọng, WazirX đã tạm thời đóng cửa hệ thống. Phát ngôn viên của công ty cho biết họ đang tích cực tìm cách thu hồi tài sản người dùng, đồng thời phối hợp với các tổ chức quốc tế để sớm tái khởi động sàn.

Triều Tiên bị tố sử dụng tiền điện tử từ Lazarus Group để phát triển hạt nhân

Không giống các nhóm hacker tội phạm khác, Lazarus hoạt động với kỷ luật và chiến lược như một đơn vị đặc nhiệm kỹ thuật số. Nhóm được hình thành từ các tài năng công nghệ giỏi nhất Triều Tiên, và họ có thể dành thời gian rất dài – thậm chí nhiều năm – để nghiên cứu mục tiêu trước khi hành động.

Lazarus thường bắt đầu bằng việc phân tích hành vi và dữ liệu cá nhân của nhân viên công ty thông qua mạng xã hội như LinkedIn, Instagram hay Facebook. Dựa vào đó, họ tạo ra các kịch bản tấn công tinh vi – từ các đường link chứa mã độc được cá nhân hóa đến các nội dung lừa đảo khiến nạn nhân tự mở cổng truy cập.

Đặc biệt, một số thành viên còn đóng giả làm ứng viên xin việc, sử dụng hồ sơ giả để thâm nhập vào nội bộ các công ty Mỹ. Sau khi được tuyển dụng, họ hoạt động như “người cắm cờ” bên trong hệ thống. Các chiến dịch này đều có sự điều phối chuyên nghiệp và hỗ trợ trực tiếp từ chính phủ Triều Tiên.

Bí mật chiến lược mạng của Triều Tiên: Từ hacker đến ngân sách quốc gia

Tháng 2 năm 2024 đánh dấu vụ trộm kỷ lục của nhóm Lazarus khi nhóm này đánh cắp 1,5 tỷ USD từ sàn Bybit – một trong những sàn tiền điện tử lớn nhất toàn cầu. Theo Chainalysis, Triều Tiên là thủ phạm của hơn 60% giá trị tài sản kỹ thuật số bị mất cắp trong năm đó.

Chính phủ nước này đã xây dựng một hệ thống hacker chuyên nghiệp gồm hơn 8.000 người, được tổ chức chặt chẽ như quân đội và chia thành các tổ đội chuyên trách.

Các tài năng trẻ trong lĩnh vực toán học và công nghệ được tuyển từ sớm, trải qua huấn luyện khắt khe để phục vụ trong các chiến dịch không gian mạng. Họ không làm công việc nào khác, mà hoàn toàn sống trong môi trường tấn công – phòng thủ số.

Dù được ưu đãi về đời sống, các hacker này phải đáp ứng áp lực cao và đối mặt với các hình phạt khắc nghiệt nếu không đạt chỉ tiêu. Elma Duval từ tổ chức PScore cho biết một số cựu kỹ sư từng bị trừng phạt nghiêm trọng khi thất bại.

Lãnh tụ quá cố Kim Jong Il từng nói “máy tính là vũ khí của tương lai”, và dưới thời Kim Jong Un, tuyên bố này đã được thể chế hóa thành chiến lược quốc gia.

Với các nguồn thu truyền thống bị bóp nghẹt bởi trừng phạt, Bình Nhưỡng chọn tiền mã hóa – phương tiện nhanh, khó kiểm soát và dễ che giấu – làm lối thoát tài chính. Triều Tiên cần khoảng 6 tỷ USD/năm để duy trì hoạt động, trong đó có ngân sách dành cho vũ khí hạt nhân.

Mặc dù không chính thức nhận trách nhiệm, Mỹ đã nhiều lần chỉ ra các bằng chứng – từ phần mềm độc hại đến ví tiền trùng lặp – cho thấy Lazarus là thủ phạm. Nhóm này từng bị cáo buộc trong các vụ tấn công toàn cầu, bao gồm Sony (2014), ngân hàng Bangladesh (2016), và mã độc WannaCry (2017).

Chiến thuật mới của Lazarus: Nhắm vào ETF và thâm nhập từ bên trong

Tháng 9 năm 2024, FBI phát cảnh báo về việc nhóm Lazarus đang nhắm mục tiêu vào các công ty điều hành hoặc cung cấp sản phẩm quỹ ETF tiền điện tử – một phân khúc đầu tư ghi nhận 37 tỷ USD dòng vốn vào năm ngoái, với sự góp mặt của các tập đoàn như Fidelity, BlackRock và những tên tuổi lớn khác. Nhóm đã dùng email mã độc được thiết kế riêng theo hồ sơ từng nạn nhân.

Đến tháng 12, một tòa án liên bang Mỹ đã buộc tội 14 cá nhân đến từ Triều Tiên vì hành vi đánh cắp danh tính người Mỹ và nộp hồ sơ xin việc vào các công ty công nghệ và tổ chức phi lợi nhuận Mỹ. Lazarus gọi các thành viên này là “chiến binh IT”, họ đã kiếm được 88 triệu USD tiền lương, tất cả đều được chuyển về Bình Nhưỡng.

Thông qua các vị trí làm việc từ xa, những thành viên này có quyền truy cập trực tiếp vào cơ sở dữ liệu và mạng nội bộ. Một số sàn giao dịch tiền điện tử thừa nhận đã bị ảnh hưởng bởi các cuộc xâm nhập xuất phát từ nhân viên giả mạo.

Ben Turner – chuyên gia kỹ thuật của Cloudburst Technologies – cho biết: “Lực lượng Triều Tiên đang hoạt động tích cực hơn bao giờ hết.” Ông xác nhận nhóm của mình đã phát hiện nhiều đơn xin việc có dấu hiệu giả mạo, chứng tỏ Lazarus đang mở rộng phạm vi cài cắm nội gián vào các công ty quốc tế.