Binance gọi Lazarus Group là mối đe dọa lớn nhất từ trước đến nay

Giám đốc An ninh của Binance, Jimmy Su, đã gọi nhóm tin tặc Triều Tiên Lazarus là mối đe dọa an ninh lớn nhất của công ty, khi sàn giao dịch này tiếp tục chống lại các nỗ lực xâm nhập liên tục từ quốc gia này.

Theo Su, các thành viên của Lazarus Group đã cố gắng xâm nhập vào hệ thống của Binance kể từ khi công ty thành lập cách đây tám năm. Trong những năm gần đây, chiến thuật của chúng ngày càng tinh vi, khiến chúng trở thành một thách thức đáng gờm đối với sàn giao dịch.

“Vật cản lớn nhất hiện nay đối với ngành công nghiệp tiền điện tử là các tác nhân nhà nước, đặc biệt là ở CHDCND Triều Tiên. Họ đã tập trung vào tiền điện tử trong hai, ba năm qua và đã khá thành công trong các nỗ lực của mình.”

Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) là nơi có một trong những nhóm tin tặc hoạt động mạnh mẽ nhất thế giới.

FBI đã liên kết nhóm này với một số vụ tấn công nghiêm trọng, bao gồm vụ hack Bybit trị giá 1,4 tỷ đô la vào tháng 3.

Tin tặc Triều Tiên cố gắng xâm nhập Binance như thế nào

Su tiết lộ rằng những kẻ tấn công từ Triều Tiên thường xuyên tìm cách được tuyển dụng vào Binance. Để đối phó, công ty đã triển khai nhiều lớp phòng thủ để ngăn chặn chúng truy cập nội bộ.

Tuyến phòng thủ đầu tiên là sàng lọc hồ sơ. Binance lọc và loại bỏ các ứng dụng bị nghi ngờ có nguồn gốc từ các điệp viên CHDCND Triều Tiên.

Nếu một bản sơ yếu lý lịch đáng ngờ vượt qua được vòng kiểm tra sơ bộ này, ứng viên sẽ được mời tham gia phỏng vấn qua video để nhóm tuyển dụng có thể xác nhận danh tính của họ bằng hình ảnh.

Tuy nhiên, bước xác minh này đang trở nên khó khăn hơn khi các công cụ trí tuệ nhân tạo được cải thiện. Su giải thích rằng ngày nay, các ứng viên Triều Tiên có thể sử dụng AI không chỉ để thay đổi diện mạo khuôn mặt mà còn để điều chỉnh giọng nói theo thời gian thực, khiến việc phát hiện họ trong các cuộc phỏng vấn trở nên khó khăn hơn.

Su lưu ý rằng một trong số ít dấu hiệu dễ nhận biết là kết nối internet chậm:

“Điểm đáng chú ý duy nhất là kết nối internet của họ hầu như lúc nào cũng chậm. Vấn đề là phần mềm phiên dịch và bộ đổi giọng nói vẫn hoạt động trong suốt cuộc gọi. Đó là lý do tại sao họ luôn bị trễ.”

Trớ trêu thay, Su nói thêm, những nhân viên được tuyển dụng có liên quan đến CHDCND Triều Tiên thường nằm trong số những nhân viên năng suất nhất của công ty—có thể là do nhiều người chia sẻ cùng một tài khoản và làm việc theo ca ở các múi giờ khác nhau.

Binance cũng theo dõi mô hình làm việc của nhân viên như một biện pháp bảo mật bổ sung.

“Nếu một công nhân dường như không bao giờ ngủ, đó có thể là dấu hiệu cho thấy họ là thành viên của Tập đoàn Lazarus khét tiếng.”

Các mối đe dọa đa diện: Từ đầu độc mã đến kỹ thuật xã hội

Một khi đã thâm nhập vào không gian tiền điện tử, các điệp viên Triều Tiên thường sử dụng hai chiến lược tấn công phổ biến. Chiến lược đầu tiên là đưa mã độc vào các thư viện phần mềm công cộng, nhằm mục đích xâm nhập các dự án tiền điện tử vô tình tích hợp mã độc vào nền tảng của họ.

Để ngăn chặn điều này, Binance tiến hành đánh giá mã một cách tỉ mỉ, rà soát kỹ lưỡng các thư viện công cộng trước khi sử dụng.

Một lớp phòng thủ quan trọng khác đến từ sự hợp tác trong ngành. Các sàn giao dịch tiền điện tử lớn chia sẻ thông tin tình báo với nhau thông qua các nhóm Telegram và Signal, cho phép họ nhanh chóng đánh dấu các thư viện bị xâm phạm và cảnh báo lẫn nhau về các phương thức tấn công DPRK mới nổi.

Chiến thuật lớn thứ hai là kỹ thuật xã hội. Tin tặc Triều Tiên thường đóng giả làm nhà tuyển dụng bên ngoài hoặc cộng tác viên dự án, mời các chuyên gia tiền điện tử đến phỏng vấn xin việc giả.

Trong các cuộc gọi này, chúng cố gắng thuyết phục mục tiêu tải xuống phần mềm độc hại được ngụy trang dưới dạng "bản cập nhật Zoom" vô hại.

Thông qua sự kết hợp giữa sàng lọc nội bộ nghiêm ngặt, phân tích mã nâng cao và phối hợp chặt chẽ với các đối tác trong ngành, Binance tiếp tục xây dựng hệ thống phòng thủ chống lại một trong những mối đe dọa dai dẳng và có nguồn lực tốt nhất trong lĩnh vực tiền điện tử.