Với sự phát triển nhanh chóng trong những năm gần đây, tiền số đã trở thành đơn vị tiền tệ chính trong thế giới tội phạm mạng.
Tuy nhiên dù ẩn danh, các giao dịch tiền mã hóa đều được ghi lại trên một hệ thống blockchain không thay đổi, qua đó để lại dấu vết rõ ràng cho bất kỳ ai có kiến thức về công nghệ.
Mặc dù vậy, vẫn có ngoại lệ duy nhất là tiền số mới được tạo ra bởi sức mạnh tính toán. Từ ý tưởng đó, một nhóm hacker của Triều Tiên đã áp dụng mánh khóe mới để rửa tiền số mà chúng đánh cắp từ các nạn nhân trên khắp thế giới.
Rửa tiền thông qua máy đào
Cách rửa tiền mới này được công ty an ninh mạng Mandiant công bố trong tài liệu điều tra toàn diện về một nhóm hacker lớn được chính phủ Triều Tiên tài trợ có tên gọi APT43.
Theo Wired, từ năm 2018, nhóm hacker này chủ yếu tập trung vào hoạt động gián điệp, tấn công các tổ chức tư vấn, học giả và ngành công nghiệp tư nhân của Mỹ, châu Âu, Hàn Quốc và Nhật Bản.
Các chiến dịch lừa đảo của APT43 được thiết kế để thu thập thông tin đăng nhập từ nạn nhân và lén cài đặt phần mềm mã độc trên máy tính.
Theo Mandiant, giống như nhiều nhóm hacker khác tại Triều Tiên, APT43 chủ yếu hướng tới lợi nhuận bằng đánh cắp bất kỳ loại tiền số hoặc thậm chí là tài trợ cho các nhóm tội phạm mạng khác.
Tuy nhiên, trong thời gian gần đây, các cơ quan quản lý trên toàn thế giới đã bắt đầu thắt chặt kiểm soát đối với các dịch vụ trao đổi và rửa tiền giới thường được giới tội phạm mạng sử dụng.
Tiêu biểu nhất có thể kể đến như hàng loạt chiến dịch đánh sập các trang “máy trộn” - dịch vụ của bên thứ ba, giúp trộn tiền mã hóa bất hợp pháp với tiền sạch, trước khi đẩy chúng trở lại thị trường.
Do đó, APT43 dường như đang thử một phương pháp mới có thể giúp nhóm này "hô biến" toàn bộ tiền số hack được và ngăn không cho chúng bị tịch thu hoặc đóng băng.
Để khai thác tiền mã hóa, máy tính sẽ xác thực giao dịch chuỗi khối (blockchain) bằng cách tìm giá trị băm (hash) đúng với giao dịch.
APT43 sẽ trộn số tiền hack vào các dịch vụ khai thác hàm băm và cho phép bất kỳ ai cũng có thể thuê máy đào này để khai thác tiền số. Sau đó, chúng sẽ thu hoạch các đồng tiền mới được khai thác vốn đã được xóa sạch dấu vết về các hoạt động tội phạm.
“Điều này giống như một tên cướp ngân hàng ăn cắp số bạc từ kho tiền của ngân hàng. Sau đó, hắn đến chỗ một người khai thác vàng và trả công cho người này bằng số bạc đã đánh cắp được. Mọi người lúc này đang tìm kiếm số bạc bị đánh cắp, trong khi tên cướp ngân hàng đang đi loanh quanh với số vàng mới được khai thác”, Joe Dobson, một nhà phân tích mối đe dọa của Mandiant cho biết.
Cách rửa tiền số kiểu mới?
Mandiant cho biết lần đầu nhận thấy các dấu hiệu về kỹ thuật rửa tiền dựa trên hoạt động khai thác tiền số của APT43 vào tháng 8/2022.
Kể từ đó, công ty an ninh mạng này đã chứng kiến lượng tiền số trị giá hàng chục nghìn USD chảy vào các dịch vụ băm như NiceHash và Hashing24, nơi cho phép mọi người mua và bán máy đào để giải các thuật toán. Phần thưởng nhận được sẽ là tiền số từ nơi mà họ tin là ví tiền số của APT43.
Các nhà phân tích của Mandiant cho biết số tiền mà Mandiant nhận được thông qua phương pháp rửa tiền này vẫn chưa bằng với quy mô từ các vụ trộm tiền số khổng lồ mà hacker Triều Tiên đã thực hiện trong những năm gần đây.
Điển hình có thể kể đến các vụ đánh cắp hàng trăm triệu USD như Harmony Bridge hoặc 600 triệu USD từ cầu nối Ronin của Axie Infinity.
Mặc dù vậy, đây có thể mới chỉ là một phần nhỏ trong hoạt động rửa tiền dựa trên việc cho thuê máy đào vừa bị phát hiện.
Bên cạnh đó, theo nhà phân tích Michael Barnhart của Mandiant, nguyên nhân có thể là vì nhiệm vụ chính của APT43 không phải là ăn cắp tiền số.
Thay vào đó, nhóm này dường như chỉ được lệnh kiếm đủ lợi nhuận bằng hoạt động tội phạm mạng để tài trợ cho hoạt động gián điệp của mình.
“Họ không kiếm tiền mà chỉ đang cố gắng kiếm sống qua ngày”, Barnhart cho biết.
Chainalysis và Elliptic, hai công ty chuyên truy tìm dấu vết tiền số, cho biết đã nhận được báo cáo về những tội phạm mạng tìm đến phương pháp khai thác mới này để tài trợ cho các hoạt động khủng bố.
Elliptic khẳng định đã tìm thấy một nhóm có liên kết với tổ chức chiến binh Hamas khai thác tiền số như một phương tiện mà họ mô tả là tài trợ cho khủng bố.
Điều này cho thấy các cơ quan chính phủ đang tìm kiếm những kẻ rửa tiền hoặc các nhà tài trợ tội phạm mạng có thể phải chuyển trọng tâm từ các dịch vụ trung gian sang công ty khai thác đóng vai trò là nguồn tiêu thụ tiền bị đánh cắp.