Chi tiết sự kiện
Ngày 21 tháng 2 năm 2025, tổ chức tội phạm mạng Lazarus Group liên kết với Triều Tiên đã thực hiện một cuộc tấn công tinh vi, rút 1,5 tỷ USD từ ví lạnh thuộc sàn giao dịch tiền điện tử Bybit. Các kẻ tấn công đã khai thác thành công các lỗ hổng trong cơ sở hạ tầng ví đa chữ ký của Bybit, một biện pháp bảo mật được thiết kế để yêu cầu nhiều phê duyệt cho các giao dịch. Bằng cách vượt qua các giao thức này, nhóm đã giành quyền truy cập trái phép vào khóa riêng, cho phép chuyển tiền khổng lồ.
Sự cố này là vụ trộm giá trị cao mới nhất được cho là do nhóm này thực hiện, nhóm sử dụng nhiều chiến thuật tiên tiến khác nhau. Phương pháp xâm nhập chính của chúng là spear phishing, một hình thức kỹ thuật xã hội có mục tiêu nhắm vào các cá nhân cụ thể trong một tổ chức. Các báo cáo từ Google và Microsoft đã chi tiết các chiến dịch mà các đặc vụ Lazarus nhắm mục tiêu vào các nhà nghiên cứu an ninh mạng và các nhân sự có giá trị cao khác để đánh cắp thông tin đăng nhập và xâm nhập hệ thống. Chiến lược này nhấn mạnh sự tập trung dai dẳng vào các lỗ hổng của con người như một cánh cửa dẫn đến khai thác kỹ thuật.
Tác động thị trường
Vụ trộm 1,5 tỷ USD của Bybit đã gây ra những chấn động đáng kể trên thị trường tài sản kỹ thuật số, gây nghi ngờ nghiêm trọng về các hoạt động bảo mật của các sàn giao dịch tập trung. Sự kiện này đặc biệt đáng báo động vì nó liên quan đến việc xâm phạm ví lạnh, vốn thường được giữ ngoại tuyến và được coi là hình thức lưu trữ an toàn nhất cho tài sản kỹ thuật số. Điều này thách thức giả định rộng rãi trong ngành rằng lưu trữ lạnh là bất khả xâm phạm trước các cuộc tấn công tinh vi, có mục tiêu và buộc phải đánh giá lại các tiêu chuẩn bảo mật cấp tổ chức.
Cuộc tấn công đã làm gia tăng lo ngại về rủi ro hệ thống do tội phạm mạng do nhà nước tài trợ gây ra cho hệ sinh thái tài chính rộng lớn hơn. Phản ứng thị trường ngay lập tức là giảm giá, với sự giám sát chặt chẽ hơn về an ninh hoạt động của các sàn giao dịch và khả năng xảy ra hậu quả pháp lý.
Bình luận của chuyên gia
Các nhà phân tích an ninh mạng và blockchain đã liên kết rõ ràng vụ tấn công Bybit, cùng với các vụ khác, với Lazarus Group. Các nhà chức trách Hoa Kỳ và Anh, bao gồm Bộ Tư pháp, trước đây đã quy trách nhiệm cho các sự kiện mạng lớn như cuộc tấn công ransomware WannaCry cho thực thể được Triều Tiên hậu thuẫn. Các hoạt động của nhóm được hiểu rộng rãi là một hoạt động tạo doanh thu chính cho chế độ Triều Tiên.
Để đối phó với mối đe dọa ngày càng tăng, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã hành động trực tiếp. OFAC đã trừng phạt hai công dân Trung Quốc, Tian Yinyin và Li Jiadong, vì vai trò của họ trong việc rửa tiền điện tử bị đánh cắp thay mặt cho Lazarus Group. Hành động pháp lý này báo hiệu sự tập trung ngày càng tăng của các cơ quan chức năng quốc tế vào việc phá vỡ các mạng lưới tài chính cho phép các hoạt động tội phạm mạng này.
Bối cảnh rộng hơn
Các hoạt động của Lazarus Group vượt ra ngoài hành vi trộm cắp tài chính đơn giản và được hiểu rõ nhất là một chiến lược đa diện bao gồm gián điệp, phá hoại và tội phạm mạng. Hoạt động ít nhất từ năm 2009, tổ chức này đã được liên kết với một loạt các sự cố nổi tiếng, bao gồm vụ hack Sony Pictures, vụ trộm Ngân hàng Bangladesh và các vụ trộm tiền điện tử lớn từ các nền tảng như Bithumb, Poly Network và Atomic Wallet.
Hành vi hoạt động này cho thấy một đối thủ có năng lực cao và thích nghi tốt, học hỏi từ mỗi hoạt động. Nhóm được biết là chia sẻ công cụ và cơ sở hạ tầng giữa các nhóm con của mình, cho phép nhóm phát triển kỹ năng nhanh chóng. Hơn nữa, Lazarus sử dụng các kỹ thuật rửa tiền tinh vi, sử dụng các dịch vụ trộn tiền điện tử như Sinbad.io để che giấu dấu vết của số tiền bị đánh cắp. Điều này đặt ra một thách thức đáng kể và liên tục đối với các cơ quan thực thi pháp luật toàn cầu và gây ra mối đe dọa dai dẳng đối với tính toàn vẹn và bảo mật của bối cảnh tài chính và tài sản kỹ thuật số quốc tế.
Edgen Crypto·Dec 01 2025, 04:15