Tại sao các vụ hack tiền mã hóa lớn nhất thế giới luôn dẫn trở lại Park Jin Hyok? Từ Sony đến Bybit, ông đã hoàn thiện những vụ trộm cắp mạng trị giá hàng tỷ đô la như thế nào?
Mục lục
* Lazarus lại ra tay
* Một hacker được nuôi dưỡng bởi Nhà nước
* Hình thành huyền thoại tội phạm mạng
* Thế giới đang thua trong cuộc chiến mạng — Và Hyok biết điều đó
Lazarus lại ra tay
Trong một sự kiện gây bất ngờ vào ngày 21 tháng 2, Bybit, một sàn giao dịch tiền điện tử nổi tiếng có trụ sở tại Dubai, đã trở thành nạn nhân của một cuộc tấn công mạng quy mô lớn.
Các hacker đã quản lý xâm nhập vào ví lạnh Ethereum (ETH) của công ty, lấy đi khoảng 1,5 tỷ đô la tài sản kỹ thuật số. Sự cố này hiện được coi là vụ trộm lớn nhất trong lịch sử tiền mã hóa.
Lỗ hổng lần đầu tiên được xác định bởi nhà phân tích chuỗi khối ZachXBT, người đã nhận thấy những khoản rút tiền bất thường từ các tài khoản của Bybit.
Giám đốc điều hành của Bybit, Ben Zhou, sau đó xác nhận rằng các kẻ tấn công đã thao túng một giao dịch, đánh lừa những người ký trong ví đồng ý việc chuyển tiền đến một địa chỉ không được phép.
Phương pháp tinh vi đã invo
lved masking the transaction to appear legitimate, thereby bypassing the multi-signature security protocols in place.
In the aftermath, blockchain investigators have linked the attack to North Korea’s notorious Lazarus Group, a collective infamous for orchestrating significant cyber heists, including the $600 million Ronin Network breach in 2022 and the $234 million WazirX hack in 2024.
Emerging reports suggest that Park Jin Hyok, a member of the Lazarus Group, might be the mastermind behind the Bybit hack.
> The Bybit hack has been exposed, and emerging reports suggest that Park Jin Hyok might be responsible. If true, this would place him among the most formidable hackers encountered to date, given his alleged track record. This incident is being described as one of the largest… pic.twitter.com/BqnB8kCPw2
> — Nana Sei Anyemedu (@RedHatPentester) February 22, 2025
Hyok is not a new name in the world of cybercrime. In 2018, the FBI issued a wanted notice for him, accusing him of bei
ng phần của một tổ chức hack được nhà nước Triều Tiên tài trợ, chịu trách nhiệm cho một số vụ xâm nhập máy tính gây thiệt hại nhất trong lịch sử.
> Park Jin Hyok đang #được truy nã bởi @FBILosAngeles về các cáo buộc liên quan đến vai trò được cho là của ông như một lập trình viên máy tính Triều Tiên, là một phần của một tổ chức hack được nhà nước tài trợ, chịu trách nhiệm cho một số vụ xâm nhập máy tính tốn kém nhất trong lịch sử. https://t.co/m6Blto337L pic.twitter.com/DWEfad9cbV
> — FBI (@FBI) ngày 8 tháng 9 năm 2018
Hãy đi sâu hơn vào bối cảnh của Park Jin Hyok, hoạt động của Nhóm Lazarus, các cáo buộc mà họ đã phải đối mặt trong quá khứ, và lịch sử các vụ hack liên quan đến tiền kỹ thuật số qua các năm.
Một hacker được nuôi dưỡng bởi Nhà nước
Được cho là được chính phủ Triều Tiên hậu thuẫn, Nhóm Lazarus đã thực hiện một số cuộc tấn công mạng tàn khốc nhất trong lịch sử, nhằm vào các tổ chức tài chính và cơ sở hạ tầng quan trọng trên toàn thế giới.
Nhưng đằng sau các hoạt động vô danh của nhóm, một cái tên đã nổi lên nhiều lần — Park J
in Hyok, một lập trình viên Bắc Triều Tiên bị cáo buộc đã dẫn dắt một số vụ trộm cắp mạng nổi bật nhất trong thập kỷ qua.
Các vụ tấn công ban đầu của nhóm tập trung vào gián điệp, thu thập thông tin từ các thực thể quân sự và doanh nghiệp. Tuy nhiên, theo thời gian, nhóm này đã chuyển hướng sang tội phạm tài chính, rút hàng tỷ từ các ngân hàng, sàn giao dịch tiền điện tử và các nền tảng tài chính kỹ thuật số khác.
Một sự thay đổi quan trọng trong sự phát triển này diễn ra với sự ra đời của Bluenoroff, một phân nhánh của Lazarus chuyên về tấn công mạng tài chính, được xác định lần đầu tiên bởi công ty an ninh mạng Kaspersky Lab.
Các nhà nghiên cứu đã liên kết nhiều vụ hack nổi bật với Bluenoroff, thậm chí phát hiện ra một kết nối IP trực tiếp đến Bắc Triều Tiên. Trong khi đó, họ cũng cảnh báo rằng một số mẫu có thể là sự đánh lạc hướng cố ý — những cái cớ sai lầm được thiết kế để quy trách nhiệm cho Bình Nhưỡng.
Tuy nhiên, Hyok không phải là một danh tính giả tạo. Mặc dù Bắc Triều Tiên khẳng định rằng anh ta không tồn tại, nhưng anh ta là có thật, với một lịch sử được ghi chép rõ ràng liên quan đến Lazarus và quốc gia này.
Cơ sở vật chất chiến tranh mạng.
Là sinh viên tốt nghiệp Đại học Công nghệ Kim Chaek tại Bình Nhưỡng, Hyok bắt đầu sự nghiệp tại Chosun Expo, một công ty CNTT có liên kết với chính phủ hoạt động ở cả Bắc Triều Tiên và Trung Quốc.
Được cho là một vỏ bọc cho các hoạt động mạng do nhà nước tài trợ, công ty này đã phục vụ như một nơi tuyển dụng cho các lập trình viên ưu tú có nhiệm vụ thực hiện các cuộc tấn công mạng theo chỉ đạo của đơn vị tình báo quân sự Bắc Triều Tiên, Lab 110.
Tên của Hyok lần đầu tiên xuất hiện trên bầu trời quốc tế sau vụ hack Sony Pictures nổi tiếng vào năm 2014.
Cuộc tấn công, được thực hiện như một hành động trả thù cho bộ phim châm biếm The Interview, đã làm tê liệt các mạng lưới nội bộ của Sony, rò rỉ một lượng lớn dữ liệu nhạy cảm và gây thiệt hại ước tính 35 triệu đô la.
Nhưng chính vụ bùng phát ransomware WannaCry năm 2017 đã củng cố cả danh tiếng của Lazarus và Hyok như những bộ óc tội phạm mạng.
Phần mềm độc hại đã mã hóa dữ liệu trên các máy tính bị nhiễm và yêu cầu thanh toán tiền điện tử để nhận khóa giải mã, gây rối loạn toàn cầu.
ale.
Tác động của cuộc tấn công là thảm khốc, tuy nhiên Bắc Triều Tiên phủ nhận sự liên quan mặc dù có bằng chứng rõ ràng gắn kết nó với Lazarus.
Kể từ đó, chiến thuật của nhóm đã phát triển, chuyển sang xu hướng mạnh mẽ hơn về việc đánh cắp tiền điện tử – một chiến lược phù hợp với sự gia tăng phụ thuộc của Bắc Triều Tiên vào các hoạt động tài chính bất hợp pháp để né tránh các lệnh trừng phạt quốc tế.
Sự hình thành của một huyền thoại tội phạm mạng
Cuộc thâm nhập của nhóm vào tội phạm tiền điện tử đã thu hút sự chú ý rộng rãi vào năm 2017 – năm mà Park lần đầu tiên được xác định là một nhân vật chủ chốt trong Lazarus.
Năm đó, một loạt cuộc tấn công mạng vào các sàn giao dịch Hàn Quốc đã siphon hàng triệu từ các nền tảng giao dịch, bao gồm cả Youbit không còn hoạt động, vốn đã buộc phải phá sản sau khi mất 17% tài sản trong một lần vi phạm duy nhất.
Sau đó, vào năm 2018, nhóm đã thực hiện một vụ đánh cắp 530 triệu đô la từ sàn giao dịch Nhật Bản Coincheck, vụ trộm tiền điện tử lớn nhất vào thời điểm đó.
Các nhà điều tra đã liên kết cuộc tấn công với các nhân viên Bắc Triều Tiên, những người đã sử dụng một sự kết hợp của các chiến dịch phishing, kỹ thuật xã hội.
ng, và phần mềm độc hại tinh vi để xâm nhập vào mạng lưới của Coincheck.
Chuyên môn của Hyok trong việc phát triển phần mềm độc hại và tạo ra các danh tính kỹ thuật số lừa đảo được cho là đã đóng một vai trò quan trọng, cho phép những kẻ tấn công có quyền truy cập vào các khóa riêng tư kiểm soát số lượng lớn token NEM.
Khi các chiến thuật của họ trở nên tinh vi hơn, Lazarus chuyển sang nhắm mục tiêu trực tiếp vào các mạng blockchain.
Vụ tấn công vào mạng Ronin (RON) năm 2022, một trong những vụ tổn thất lớn nhất trong lịch sử tiền điện tử, đã chứng kiến 600 triệu đô la bị rút khỏi sidechain của Axie Infinity (AXS) thông qua một cuộc tấn công kỹ thuật xã hội được lên kế hoạch tỉ mỉ.
Các hacker đã tận dụng một lỗ hổng trong hệ thống xác thực của Ronin, sử dụng các khóa riêng tư bị xâm phạm để xác thực các giao dịch gian lận — một cuộc tấn công yêu cầu kiến thức kỹ thuật sâu rộng, kiên nhẫn và độ chính xác, tất cả đều là đặc điểm của chuyên môn của Park.
Các cơ quan chức năng của Hoa Kỳ sau đó xác nhận rằng các khoản tiền bị đánh cắp đã được rửa qua nhiều giao thức phi tập trung trước khi được chuyển vào tài chính của Bắc Triều Tiên.
hệ thống tài chính.
Xu hướng này tiếp tục diễn ra vào năm 2023 và 2024, với Lazarus tấn công một lần nữa.
Vào tháng 7 năm 2024, WazirX, một trong những sàn giao dịch lớn nhất Ấn Độ, đã chịu tổn thất 234 triệu đô la trong một trường hợp khác của sự lừa dối đa tầng.
Các kẻ tấn công đã khai thác các lỗ hổng trong quyền hạn API của sàn giao dịch, chiếm quyền truy cập trái phép để chuyển tiền mà không bị phát hiện bởi các biện pháp bảo mật nội bộ.
Các đội điều tra blockchain đã lần theo các tài sản bị đánh cắp qua một mê cung các dịch vụ trộn lẫn, với những dấu vết kỹ thuật số một lần nữa dẫn trở lại Triều Tiên.
Và giờ đây, vụ hack Bybit đã phục hồi lại cùng một mô hình — lần này với quy mô thậm chí còn lớn hơn.
Thế giới đang thua trong cuộc chiến mạng — Và Hyok biết điều đó
Cuộc chiến mạng của Nhóm Lazarus đã phát triển thành một chiến lược được tổ chức tốt, kết hợp sự lừa dối, xâm nhập và rửa tiền chính xác.
Khả năng vũ khí hóa tâm lý con người của họ là một trong những lợi thế đáng gờm nhất của họ, cho phép họ vượt qua ngay cả những biện pháp bảo mật tinh vi nhất. Và khi
Dữ liệu gần đây cho thấy, họ chỉ ngày càng trở nên hiệu quả hơn trong công việc của mình.
Theo Chainalysis, các hacker liên quan đến Bắc Triều Tiên đã đánh cắp 660,50 triệu đô la qua 20 vụ việc trong năm 2023.
Trong năm 2024, số tiền này đã tăng vọt lên 1,34 tỷ đô la bị đánh cắp qua 47 vụ việc, đánh dấu mức tăng hơn 102%. Các con số này chiếm 61% tổng số tiền tiền điện tử bị đánh cắp trong năm đó, và nhóm Lazarus chịu trách nhiệm cho gần như tất cả các vụ khai thác quy mô lớn trên 100 triệu đô la.
Bây giờ, chỉ trong hai tháng đầu năm 2025, họ đã vượt qua tổng số của năm 2024, với vụ tấn công Bybit một mình đã rút mất 1,5 tỷ đô la.
Các hoạt động của nhóm bắt đầu từ trước khi một vụ vi phạm xảy ra. Trong vài năm qua, các nhân viên CNTT Bắc Triều Tiên đã hệ thống hóa việc nhúng mình vào các công ty tiền điện tử và web3, sử dụng danh tính giả, nhà tuyển dụng bên thứ ba và cơ hội việc làm từ xa để có được quyền truy cập nội bộ.
Bộ Tư pháp Hoa Kỳ vào năm 2024 đã truy tố 14 công dân Bắc Triều Tiên đã có được việc làm tại các công ty của Hoa Kỳ, đánh cắp hơn 88 triệu đô la bằng cách lừa đảo.
chiếm đoạt thông tin quyền sở hữu và khai thác vị trí của họ.
Các đặc vụ này hành động như những người trong cuộc thầm lặng, cung cấp cho Lazarus thông tin tình báo về các giao thức an ninh sàn giao dịch, cấu trúc ví, và dòng chảy giao dịch nội bộ.
Một khi đã được cài cắm, Lazarus thực hiện các cuộc tấn công của mình thông qua kỹ thuật xã hội, lừa đảo qua thư điện tử, và khai thác kỹ thuật. Nhân viên được nhắm đến bằng những email được chế tác tỉ mỉ giả mạo các thực thể đáng tin cậy để lấy thông tin đăng nhập nhạy cảm.
Cuộc tấn công vào Bybit theo một mô hình tương tự, trong đó những kẻ tấn công lừa đảo các người ký đa chữ ký của sàn giao dịch để cho phép các giao dịch độc hại bằng cách ngụy trang chúng như những phê duyệt thông thường.
Khi tiền đã bị đánh cắp, chúng nhanh chóng được chuyển qua một mạng lưới các sàn giao dịch phi tập trung, ví riêng tư như Tornado Cash (TORN), và các cây cầu xuyên chuỗi.
Các giao dịch này nhanh chóng xáo trộn tài sản qua các blockchain khác nhau, khiến cho việc điều tra trở nên khó khăn trong việc lần ra nguồn gốc của chúng.
Thông thường, tiền điện tử bị đánh cắp
được chuyển đổi nhiều lần giữa Bitcoin (BTC), Ethereum và stablecoins trước khi cuối cùng đến tay những ví được kiểm soát bởi các đặc vụ Triều Tiên.
Một số tài sản này được chuyển qua các công ty giao dịch tiền điện tử có vẻ hợp pháp, càng làm mờ đi nguồn gốc của chúng và cho phép chế độ này chuyển đổi tài sản kỹ thuật số thành tiền tệ cứng — một cách thức quan trọng để lách các lệnh trừng phạt quốc tế.
Và trong tất cả những điều đó, Park Jin Hyok đứng ở trung tâm của gần như mọi hoạt động chính của Lazarus. Cho dù ông là kiến trúc sư của những vụ cướp này hay chỉ là một trong những đặc vụ có kỹ năng nhất, dấu vết của ông có mặt ở khắp mọi nơi.
Với cuộc tấn công Bybit viết lại sách hướng dẫn lần nữa, câu hỏi thực sự không chỉ là họ đã thực hiện điều đó như thế nào — mà là thế giới có thể duy trì được bao lâu trước khi tỷ lệ triệu phú tiếp theo biến mất vào khoảng không gian kỹ thuật số.
Bình luận (0)