Theo nghiên cứu mới cho công bố ra của
TRM Labs, vụ tấn công mạng nhắm vào
LastPass hồi năm 2022 không chỉ dừng lại ở việc bị rò rỉ hàng loạt các thông tin cá nhân, mà thậm chí đã trở thành tiền đề cho các vụ lấy cắp tiền điện tử kéo dài trong nhiều năm, thậm chí được ghi nhận cho đến cuối năm 2025 này.
Cụ thể hơn, bọn tin tặc đã lấy cắp được các bản sao lưu kho mật khẩu đã được cho mã hóa của các nạn nhân. Những kho này có chứa nhiều tư liệu cá nhân nhạy cảm, gồm có khóa riêng tư và
"cụm chữ hạt giống" (seed phrase) của ví tiền điện tử. Dù cho các dữ kiện đã được mã hóa, nhưng do kẻ tấn công có toàn bộ bản sao lưu nắm trong tay, chúng có thể cho bẻ khóa
"mật khẩu chính" (master password) theo hình thức ngoại tuyến, do không bị giới hạn thời gian hay số lần thử.
TRM Labs còn cho biết, việc người ta không cho thay đổi mật khẩu chính hoặc không tăng cường vấn đề bảo mật sau vụ bị rò rỉ này đã tạo điều kiện thuận lợi cho bọn tin tặc âm thầm sử dụng thử mật khẩu trong một thời gian dài. Khi đạt thành công, chúng có thể cho rút sạch tài sản tiền điện tử từng bước, thay vì ra tay hành động ồ ạt, nhằm tránh bị phát hiện ra.
Nguồn tiền bị lấy cắp, nạn rửa tiền và dấu vết có dính líu đến bọn tội phạm mạng Nga
Dựa trên toàn bộ số liệu phân tích on-chain,
TRM Labs đưa ra nhận định cho thấy, có sự tham gia của các băng nhóm tội phạm mạng dính líu đến Nga. Kết luận này được đưa ra từ nhiều yếu tố, bao gồm:
- Tương tác lặp đi lặp lại với hạ tầng và dịch vụ liên quan đến Nga
- Sự liên tục trong quyền kiểm soát ví trước và sau quá trình cho trộn và rửa tiền
- Việc sử dụng các sàn giao dịch rủi ro cao của Nga làm nơi rửa tiền
Tổng cộng, hơn 35 triệu USD thuộc tài sản kỹ thuật số đã được truy ra dấu vết. Trong đó:
- 28 triệu USD được chuyển đổi sang Bitcoin và cho rửa tiền thông qua
Wasabi Wallet từ cuối năm 2024 đến đầu năm 2025
- 7 triệu USD thuộc làn sóng lấy cắp tiếp theo, được phát hiện ra vào tháng 9/2025
Số tiền này đã đi qua
Cryptomixer.io và được rút ra thông qua
Cryptex và
Audia6, hai sàn giao dịch của Nga từng bị nhiều tổ chức an ninh mạng cảnh cáo. Đáng chú ý,
Cryptex đã bị Bộ Tài chính Mỹ trừng phạt vào tháng 9/2024 vì đã tiếp nhận hơn 51,2 triệu USD có nguồn gốc từ các hoạt động bất hợp pháp, bao gồm cả mã độc tống tiền.
Mặc dù bọn tin tặc sử dụng kỹ thuật
CoinJoin nhằm che giấu nguồn tiền lấy cắp,
TRM Labs vẫn có thể cho tách biệt ra và liên kết các giao dịch thông qua các mô hình rút tiền theo cụm và chuỗi giao dịch tách rời, từ đó xác định các điểm cho rửa tiền cụ thể.
Theo Ari Redbord, Trưởng bộ phận chính sách toàn cầu của
TRM Labs, đây là ví dụ điển hình cho thấy một vụ hack duy nhất có thể biến thành chiến dịch trộm cắp kéo dài trong nhiều năm. Ngay cả khi sử dụng các phương tiện nhằm che giấu các giao dịch, hành vi, hạ tầng và thói quen cho rửa tiền vẫn có thể tiết lộ ra danh tính thực sự của bọn xấu đứng phía sau.
Nguồn: thehackernews