Nhóm hacker Triều Tiên Lazarus đang âm thầm đánh cắp Bitcoin

Ảnh: CNN Money

Nhóm hacker Lazarus của Triều Tiên là chủ mưu trong vụ trộm Bitcoin này. Lazarus vốn từng bị buộc tội tung ra các cuộc tấn công quy mô toàn cầu, bao gồm cả vụ WannaCry và các vụ cướp trực tuyến ngân hàng Bangladesh Bank với tổng thiệt hại 81 triệu USD. 

Các hoạt động của nhóm hacker khét tiếng này lần đầu tiên được đưa ra ánh sáng sau khi bị buộc tội tấn công Sony Pictures vào năm 2014.

Theo các chuyên gia bảo mật tại Secureworks, Lazarus đã tung ra chiến dịch lừa đảo từ tháng 10 với cách thức tấn công không quá phức tạp. Vẫn là hình thức đính kèm mã độc vào email với nội dung hấp dẫn như mua Bitcoin với giá rẻ và lừa nạn nhân nhấp chuột vào đó, nhưng thay vì nhắm vào người dùng và các nhân viên bình thường, chúng nhắm mục tiêu vào các giám đốc tài chính đang quản lý tiền ảo, trong đó có Bitcoin.

Hacker sẽ gửi đến một email có chứa thông tin về vị trí giám đốc tài chính của một công ty khác. Bên trong, email đính kèm một văn bản lưu lại bằng Microsoft Word, đồng thời yêu cầu chỉnh sửa lại văn bản này. 

Khi nhấp vào tài liệu sẽ tự động tải RAT (một trojan truy cập từ xa), cho phép hacker hoàn thành việc truy cập vào máy tính của nạn nhân. Nó cho phép hacker có thể tải và cài đặt phần mềm độc hại khác bất cứ lúc nào. Nếu máy tính đó thực hiện các giao dịch Bitcoin hoặc tiền điện tử khác, các thông tin có thể bị ghi lại và bị âm thầm đánh cắp.

Không những thế, khi tập tin văn bản được mở ra, lập tức một macro sẽ xâm nhập hệ thống, tự động tạo một văn bản giả mô tả vai trò của một CFO đang làm việc cho một công ty tiền điện tử tại châu Âu với thông tin được lấy từ một CFO thực tế trên LinkedIn. Cách tấn công này mới lạ, nguy hiểm và khó phát hiện hơn.

Ảnh: CNBC.

ZDNet báo cáo các nhà nghiên cứu của Secureworks cho rằng phần mềm độc hại được sử dụng trong chiến dịch này là một dạng trojan mới, có khả năng được lập trình đặc biệt cho các cuộc tấn công kiểu này. 

Rafe Pilling, một nhà nghiên cứu cao cấp, cho biết: "Điều thú vị ở đây là kỹ thuật và chiến thuật được chúng sử dụng đã thay đổi bản chất. Trước đây, Lazarus nhắm mục tiêu các tổ chức quốc phòng, giờ chuyển sang các công ty tài chính."

Không phải gần đây khi giá Bitcoin tăng thì Triều Tiên mới quan tâm đến. Từ năm 2013, nước này đã bắt đầu tiến hành các nghiên cứu về tiền điện tử. 

Pilling nói thêm: "Vào thời điểm đó, Triều Tiên đã sử dụng proxy để che giấu địa chỉ IP gốc, nhưng thỉnh thoảng các proxy này thất bại và tiết lộ IP thực sự của họ. Với mức giá Bitcoin tăng hiện nay, chúng tôi nghi ngờ rằng sự quan tâm của Triều Tiên về tiền điện tử vẫn còn rất cao. Các chiến dịch gần đây của nhóm Lazarus vẫn đang tiếp diễn".

Cơ quan gián điệp Hàn Quốc cho biết có bằng chứng cho thấy hacker Triều Tiên đã tấn công Bithumb - một trong những sàn giao dịch Bitcoin bí mật lớn nhất của Hàn Quốc - vào tháng 6 và cũng thực hiện một cuộc tấn công tương tự với Coinis vào tháng 9. Hiện có ít nhất một công ty về tiền điện tử tại Anh bị tấn công theo cách thức này.