Hash ( SHA1 ) của bài viết này: 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8
Số: Kiến thức bảo mật PandaLY số 025
Là động lực cốt lõi của nền kinh tế kỹ thuật số, công nghệ blockchain đang thúc đẩy một cuộc cách mạng về bảo mật dữ liệu và tài chính toàn cầu. Tuy nhiên, đặc điểm phân cấp và ẩn danh cũng thu hút sự chú ý của tội phạm mạng, gây ra hàng loạt cuộc tấn công vào tài sản tiền điện tử. Tin tặc không bao giờ ngủ và những nơi tập hợp tiền luôn là mục tiêu của tin tặc. Theo dữ liệu được cung cấp bởi nhiều công ty bảo mật và phân tích blockchain khác nhau, thiệt hại do các cuộc tấn công liên quan đến Web3 gây ra đã vượt quá 3 tỷ USD từ năm 2020 đến năm 2024. Nhóm bảo mật Chainsource của chúng tôi sẽ tiến hành phân tích chuyên sâu về một số nhóm hacker blockchain nổi tiếng và các trường hợp nổi tiếng của họ, tiết lộ phương pháp phạm tội của họ và cung cấp các chiến lược thực tế cho các cá nhân để ngăn chặn các cuộc tấn công của hacker.
Thủ đoạn và vụ trộm của các nhóm hacker nổi tiếng
Nhóm hacker Lazarus của Triều Tiên
lý lịch:
Theo Wikipedia, Tập đoàn Lazarus được thành lập năm 2007 và trực thuộc Trung tâm nghiên cứu số 110 trực thuộc Tổng cục trinh sát thuộc Bộ Tổng tham mưu Quân đội nhân dân Triều Tiên, chuyên về chiến tranh mạng. Tổ chức này được chia thành hai bộ phận: bộ phận thứ nhất có tên BlueNorOff (còn được gọi là APT 38), có khoảng 1.700 thành viên. Nó chủ yếu thực hiện các giao dịch chuyển tiền bất hợp pháp thông qua các lệnh SWIFT giả mạo và tập trung khai thác các lỗ hổng mạng để thu được lợi ích tài chính hoặc hệ thống kiểm soát. việc triển khai tội phạm mạng tài chính chủ yếu nhắm vào các tổ chức tài chính và sàn giao dịch tiền điện tử. Bộ phận thứ hai là AndAriel, có khoảng 1.600 thành viên và chủ yếu nhắm vào Hàn Quốc.
Phương thức hoạt động:
Trong những ngày đầu, Lazarus chủ yếu thực hiện các cuộc tấn công DDoS thông qua mạng botnet, nhưng giờ đây các phương thức tấn công của chúng đã chuyển sang tấn công lao móc, tấn công hố nước, tấn công chuỗi cung ứng, v.v. và chúng thực hiện các cuộc tấn công kỹ thuật xã hội có mục tiêu nhằm vào các mục tiêu khác nhau. Lazarus sử dụng các cuộc tấn công hapoon trong email và các cuộc tấn công vào lỗ tưới nước trên trang web để đạt được sự xâm nhập và có thể sử dụng các ứng dụng gây hư hại hệ thống hoặc ransomware để can thiệp vào việc phân tích các sự kiện. Ngoài ra, nó cũng sẽ sử dụng các lỗ hổng giao thức SMB hoặc các công cụ sâu liên quan để di chuyển và tải trọng bên trong. giao hàng, và thậm chí Tiến hành các cuộc tấn công vào hệ thống SWIFT của ngân hàng để đánh cắp tiền. Các tính năng kỹ thuật của nó bao gồm việc sử dụng nhiều thuật toán mã hóa (như RC 4, AES, Spritz) và thuật toán chuyển đổi ký tự tùy chỉnh, ngụy trang giao thức TLS để vượt qua IDS thông qua tên miền trắng trong bản ghi SNI, đồng thời sử dụng IRC và HTTP giao thức.
Ngoài ra, Lazarus còn làm hỏng hệ thống bằng cách làm hỏng MBR, bảng phân vùng hoặc ghi dữ liệu rác vào các cung và sử dụng các tập lệnh tự xóa để che giấu dấu vết của cuộc tấn công. Các phương thức tấn công của nó bao gồm sử dụng Trojan làm tệp đính kèm email cho các cuộc tấn công hapoon và xâm nhập thông qua các tài liệu và macro độc hại trong các cuộc tấn công Watering Hole, Lazarus phân tích các hoạt động trên Internet của mục tiêu, tấn công các trang web mà họ thường truy cập và cấy mã độc hại trên quy mô lớn. tiền; trong một cuộc tấn công kỹ thuật xã hội, giả vờ là một nhà tuyển dụng tiền điện tử hoặc an ninh mạng để có được thông tin xác thực để thực hiện cuộc tấn công. Kho vũ khí của Lazarus chứa một số lượng lớn các công cụ tùy chỉnh, cho thấy rằng có một nhóm phát triển quy mô lớn đằng sau nó. Các khả năng và công cụ tấn công của nó bao gồm mạng botnet DDoS, keylogger, RAT, phần mềm độc hại gạt nước và các mã độc hại như Destover, Duuzer và Hangman. .
Danh sách trường hợp:
Vụ cướp ngân hàng Bangladesh năm 2017
Nhóm hack Lazarus đã đánh cắp 81 triệu USD tiền bằng cách tấn công hệ thống SWIFT. Mặc dù vụ việc này chủ yếu liên quan đến hệ thống ngân hàng truyền thống, nhưng tác động của nó cũng đã lan sang lĩnh vực blockchain, vì số tiền mà tin tặc thu được theo cách này thường được sử dụng để mua tiền điện tử nhằm mục đích rửa tiền.
Sự cố hack KuCoin năm 2020
Vào tháng 9 năm 2020, sàn giao dịch KuCoin đã hứng chịu một cuộc tấn công quy mô lớn của hacker, dẫn đến thiệt hại lên tới 200 triệu USD. Dù chưa xác nhận đầy đủ trách nhiệm trực tiếp nhưng giới phân tích cho rằng có liên quan đến Lazarus. Tin tặc đã lợi dụng các lỗ hổng hợp đồng và điểm yếu của hệ thống để đánh cắp số lượng lớn tiền điện tử và cố gắng chuyển và rửa tiền qua nhiều kênh.
Cuộc tấn công mạng Ronin 2021
Ronin, mạng blockchain cho trò chơi Axie Infinity, đã bị tấn công vào tháng 3 năm 2021, dẫn đến thiệt hại hơn 600 triệu USD. Tin tặc đã thực hiện cuộc tấn công bằng cách tấn công các nút và lỗ hổng hệ thống của nhà phát triển. Mặc dù trách nhiệm trực tiếp chưa được xác nhận nhưng nhiều nhà phân tích đã liên kết nó với Lazarus hoặc các nhóm hack được nhà nước bảo trợ khác.
Tấn công mạng Harmony 2022
Cầu nối chuỗi chéo của chuỗi khối Harmony đã bị tấn công vào tháng 6 năm 2022, dẫn đến thiệt hại khoảng 100 triệu USD. Cuộc tấn công đã chứng minh một lỗ hổng bảo mật trong cầu nối chuỗi chéo của blockchain. Mặc dù chưa xác định được kẻ tấn công nhưng một số chuyên gia đã liên kết nó với chiến thuật của một nhóm hacker Triều Tiên và tin rằng họ có thể đã thực hiện cuộc tấn công thông qua các kỹ thuật tương tự.
Băng nhóm tội phạm Drainer
“Drainer” trong blockchain thường đề cập đến một hợp đồng hoặc tập lệnh thông minh độc hại có mục đích là đánh cắp tiền một cách gian lận từ ví hoặc tài khoản tiền điện tử của người dùng. Kiểu tấn công này thường xảy ra khi người dùng tương tác với các ứng dụng hoặc trang web phi tập trung (dApps) giả mạo hoặc bị xâm phạm. Người dùng có thể vô tình ủy quyền cho hợp đồng độc hại để kiểm soát tiền của họ. Các nhóm tội phạm tiêu tiền nổi tiếng như sau:
lý lịch:
Inferno Drainer, một trong những công cụ lừa đảo ví tiền điện tử phổ biến nhất, là nền tảng Lừa đảo dưới dạng dịch vụ (PaaS) cung cấp cho những kẻ lừa đảo các Công cụ lừa đảo sẵn sàng sử dụng, thông qua các nền tảng này, kẻ tấn công có thể dễ dàng tạo các trang web lừa đảo được ngụy trang dưới dạng các ứng dụng phi tập trung (dApp) hợp pháp để đánh cắp tài sản tiền điện tử của người dùng. Theo dữ liệu từ công ty bảo mật Web3 Blockaid, tính đến tháng 7 năm 2024, số lượng DApp sử dụng Inferno Drainer đã tăng lên 40.000. Số lượng DApp độc hại mới sử dụng công cụ này đã tăng gấp ba lần, với mức sử dụng tăng 300%
Phương thức hoạt động:
Băng nhóm này quảng bá dịch vụ của mình thông qua các kênh Telegram và hoạt động theo mô hình lừa đảo như một dịch vụ, nơi các nhà phát triển cung cấp các trang web lừa đảo cho những kẻ lừa đảo để giúp họ thực hiện các hoạt động lừa đảo. Khi nạn nhân quét mã QR trên trang web lừa đảo và kết nối ví của họ, Inferno Drainer sẽ tự động kiểm tra và định vị những tài sản có giá trị nhất và dễ chuyển nhượng nhất trong ví và bắt đầu các giao dịch độc hại. Sau khi nạn nhân xác nhận giao dịch, tài sản sẽ được chuyển vào tài khoản của tội phạm. Trong số tài sản bị đánh cắp, 20% sẽ được phân phối cho các nhà phát triển Inferno Drainer, trong khi 80% còn lại sẽ thuộc sở hữu của những kẻ lừa đảo.
Họ chủ yếu nhắm mục tiêu đến người dùng và nền tảng liên quan đến tiền điện tử, chẳng hạn như ứng dụng tài chính phi tập trung (DeFi), thị trường NFT, ví tiền điện tử, v.v. Các kỹ thuật lừa đảo xã hội, chẳng hạn như các thông báo chính thức giả mạo hoặc các chiến dịch airdrop, được sử dụng để xúi giục người dùng cấp quyền truy cập vào ví của họ bằng cách giả vờ là các ứng dụng hoặc dịch vụ hợp pháp, từ đó đánh cắp tiền. Sự xuất hiện của công cụ này đã hạ thấp đáng kể ngưỡng phạm tội lừa đảo trực tuyến, dẫn đến gia tăng các hoạt động lừa đảo liên quan.
Danh sách trường hợp:
Tấn công lừa đảo OpenSea
Tin tặc đã sử dụng nền tảng Inferno Drainer để thực hiện các cuộc tấn công lừa đảo chống lại người dùng OpenSea. OpenSea là một thị trường NFT phổ biến, với nhiều người dùng có ví tiền điện tử được liên kết với tài khoản của họ. Những kẻ tấn công đã tạo ra một trang lừa đảo được ngụy trang dưới dạng trang web OpenSea và thu hút người dùng thông qua email và quảng cáo trên mạng xã hội. Khi người dùng kết nối ví trên trang này và ủy quyền giao dịch, Inferno Drainer sẽ tự động thực hiện một giao dịch độc hại và chuyển NFT và tiền điện tử trong ví của người dùng đến địa chỉ do tin tặc kiểm soát. Cuộc tấn công đã khiến hàng chục người dùng mất đi NFT quý giá và số lượng lớn Ethereum, với tổng thiệt hại lên tới hàng triệu đô la.
Tấn công lừa đảo Uniswap
Uniswap là một trong những sàn giao dịch phi tập trung phổ biến nhất trong không gian tài chính phi tập trung (DeFi). Inferno Drainer được sử dụng trong các cuộc tấn công lừa đảo được ngụy trang dưới dạng Uniswap. Kẻ tấn công đã tạo một trang web Uniswap giả mạo và hướng dẫn người dùng truy cập trang web đó thông qua quảng cáo của Google, các liên kết mạng xã hội, v.v. Sau khi nạn nhân ủy quyền một hợp đồng độc hại trên trang web, Inferno Drainer nhanh chóng quét tài khoản của họ và thực hiện giao dịch chuyển token, đánh cắp tài sản của người dùng. Nhiều người dùng đã mất số lượng lớn token và stablecoin trong cuộc tấn công này, với tổng giá trị từ hàng trăm nghìn đến hàng triệu đô la.
Các phương thức tấn công thường được các nhóm hacker sử dụng là tương tự nhau.
Lừa đảo
Tin tặc giả vờ là các tổ chức hoặc cá nhân đáng tin cậy và lừa nạn nhân nhấp vào các liên kết độc hại hoặc rò rỉ khóa riêng để lấy tài sản tiền điện tử của họ. Ví dụ: Tập đoàn Lazarus đã đánh cắp thành công số tiền khổng lồ từ các sàn giao dịch tiền điện tử bằng cách giả mạo danh tính của các quan chức chính phủ và thực hiện các cuộc tấn công lừa đảo chính xác.
Phần mềm độc hại
Tin tặc sử dụng phần mềm độc hại để lây nhiễm vào thiết bị của nạn nhân nhằm đánh cắp mật khẩu của họ hoặc chiếm quyền điều khiển thiết bị từ xa. FIN 6 thường sử dụng phần mềm độc hại tùy chỉnh để nhắm mục tiêu cụ thể vào các tổ chức tài chính và sàn giao dịch tiền điện tử.
Khai thác lỗ hổng hợp đồng thông minh
Tin tặc chuyển hoặc đánh cắp tiền bất hợp pháp bằng cách xác định và khai thác các lỗ hổng trong hợp đồng thông minh. Vì mã của hợp đồng thông minh không thể thay đổi sau khi nó được triển khai trên blockchain nên tác hại của các lỗ hổng có thể cực kỳ nghiêm trọng.
tấn công 51%
Bằng cách kiểm soát hơn 50% sức mạnh tính toán trong mạng blockchain, tin tặc có thể thực hiện các cuộc tấn công chi tiêu gấp đôi hoặc giả mạo hồ sơ giao dịch. Các cuộc tấn công như vậy đặc biệt nhắm vào các mạng blockchain nhỏ hoặc mới nổi, vốn dễ bị thao túng độc hại do sức mạnh tính toán tương đối tập trung của chúng.
Các biện pháp phòng ngừa đối với khách hàng cá nhân
Tăng cường nhận thức về an toàn
Luôn cảnh giác và không nhấp vào các liên kết lạ hoặc tải xuống phần mềm từ các nguồn không xác định. Đặc biệt khi giao dịch tiền điện tử cần thận trọng để tránh rơi vào bẫy.
Kích hoạt xác thực hai yếu tố
Bật xác thực hai yếu tố (2FA) trên tất cả tài khoản tiền điện tử để thêm lớp bảo mật bổ sung cho tài khoản của bạn và ngăn chặn đăng nhập trái phép.
Sử dụng ví phần cứng
Lưu trữ hầu hết tiền điện tử của bạn trong ví phần cứng thay vì ví hoặc sàn giao dịch trực tuyến. Phương pháp lưu trữ ngoại tuyến này có thể giảm thiểu nguy cơ bị tin tặc tấn công từ xa một cách hiệu quả.
Xem lại hợp đồng thông minh
Trước khi tương tác với hợp đồng thông minh, hãy cố gắng hiểu mã hợp đồng hoặc chọn hợp đồng được xem xét chuyên nghiệp để tránh tương tác với các hợp đồng thông minh chưa được xác minh và giảm nguy cơ bị trộm tiền.
Cập nhật thiết bị, phần mềm thường xuyên
Đảm bảo rằng tất cả các thiết bị và phần mềm liên quan được sử dụng đều được cập nhật bản cập nhật bảo mật thường xuyên để ngăn chặn các cuộc tấn công do các lỗ hổng cũ.
Phần kết luận
Trong lĩnh vực blockchain, bảo mật luôn là vấn đề quan trọng. Hiểu và xác định các nhóm, công cụ và phương pháp tấn công nổi tiếng, kết hợp với các biện pháp phòng ngừa cá nhân hiệu quả, có thể làm giảm đáng kể nguy cơ trở thành mục tiêu. Khi công nghệ tiếp tục phát triển, các phương pháp hack cũng ngày càng được nâng cấp. Nhóm bảo mật Chainsource khuyến nghị người dùng tiếp tục nâng cao nhận thức về bảo mật của mình và luôn cảnh giác để duy trì khả năng bất khả chiến bại trong kỷ nguyên kỹ thuật số đang thay đổi nhanh chóng này.
Chainyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi cũng như giải cứu lỗ hổng tài sản và hợp đồng, đồng thời chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp các báo cáo phân tích an toàn dự án, truy xuất nguồn gốc trên chuỗi và các dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.
Cảm ơn bạn đã đọc, chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.
