Hàn Quốc đã dẫn độ một công dân Lithuania 29 tuổi bị cáo buộc phát tán mã độc để âm thầm thay đổi địa chỉ ví trong lúc giao dịch, qua đó chiếm đoạt hơn 1,7 tỷ won tài sản số.
Vụ việc cho thấy rủi ro “clipboard/memory hijacking” có thể khiến giao dịch tiền điện tử bị chuyển hướng mà nạn nhân không hay biết, đặc biệt khi tải phần mềm kích hoạt hệ điều hành không chính thống.
- Hàn Quốc dẫn độ nghi phạm bị cáo buộc dùng malware thay địa chỉ ví để chiếm đoạt tiền điện tử.
- Mã độc giả dạng công cụ kích hoạt Windows, nhắm vào người dùng phần mềm không bản quyền.
- Cảnh sát kêu gọi cảnh giác khi giao dịch tài sản số và thúc đẩy hợp tác quốc tế chống tội phạm mạng.
Hàn Quốc dẫn độ nghi phạm bị cáo buộc đánh cắp 1,7 tỷ won tài sản số
Nghi phạm quốc tịch Lithuania đã bị dẫn độ về Hàn Quốc để điều tra việc dùng malware chuyển hướng địa chỉ ví, khiến nạn nhân mất tài sản số với tổng giá trị hơn 1,7 tỷ won.
Cơ quan Công an Quốc gia Hàn Quốc cho biết thông tin được công bố bởi National Office of Investigation (NOI). Nghi phạm bị dẫn độ từ Georgia và bị bắt theo lệnh truy nã do tòa án phê chuẩn sau khi được đưa về Hàn Quốc.
NOI cho rằng người này liên quan một chiến dịch nhắm vào nạn nhân tại Hàn Quốc và nhiều quốc gia khác, sử dụng kỹ thuật tấn công để can thiệp vào quá trình gửi tài sản số.
Mã độc giả dạng công cụ kích hoạt Windows là phương thức tấn công chính
Nghi phạm bị cáo buộc phát tán phần mềm độc hại KMSAuto giả dạng công cụ kích hoạt Microsoft Windows để lây nhiễm, từ đó can thiệp giao dịch tiền điện tử của nạn nhân.
Theo bài viết, hoạt động bị cáo buộc diễn ra từ tháng 4/2020 đến tháng 1/2023. KMSAuto được ngụy trang nhằm dụ người dùng tải về như một công cụ “kích hoạt” Windows.
Điều tra viên nhận định malware này được chia sẻ hơn 2 triệu lần trên toàn cầu. Cơ chế tấn công được mô tả là “memory hacking”, tự động thay địa chỉ ví tiền điện tử mà người dùng định gửi bằng địa chỉ ví của kẻ tấn công ngay trong lúc giao dịch.
Mục tiêu được cho là tập trung vào người dùng không sử dụng công cụ kích hoạt có bản quyền. Báo cáo nêu hơn 3.100 ví bị lây nhiễm trên toàn thế giới, và kẻ tấn công bị cáo buộc đã chặn 840 giao dịch, tổng giá trị 1,7 tỷ won.
Thiệt hại tại Hàn Quốc gồm nhiều nạn nhân và một vụ mất 1 Bitcoin
Cảnh sát cho biết đã ghi nhận nhiều nạn nhân tại Hàn Quốc, trong đó có một trường hợp báo mất 1 Bitcoin khi giao dịch bị chuyển sang địa chỉ ví khác.
Nhà chức trách nêu rằng có tám công dân Hàn Quốc được xác định là nạn nhân trong nhóm thiệt hại, với tổng số tiền bị mất 16 triệu won. Một báo cáo vào tháng 8/2020 từ người dùng bị mất 1 Bitcoin đã khiến vụ việc được chú ý; tại thời điểm đó, người này cho biết đã gửi tới ví quen thuộc nhưng giao dịch lại bị chuyển hướng sang địa chỉ khác.
Quá trình điều tra được cho là lần ra dòng tài sản số bị đánh cắp tới sáu quốc gia, bao gồm các sàn giao dịch trong nước, đồng thời xác định thêm bảy nạn nhân tại Hàn Quốc.
Hợp tác xuyên biên giới và Interpol hỗ trợ quá trình truy bắt
Hàn Quốc phối hợp với cơ quan tư pháp và thực thi pháp luật Lithuania, đồng thời đề nghị Interpol phát lệnh truy nã đỏ để phục vụ truy bắt và dẫn độ.
Cảnh sát cho biết đã triển khai chiến dịch phối hợp vào tháng 12 năm ngoái với Bộ Tư pháp Lithuania, viện công tố và lực lượng cảnh sát. Trong chiến dịch này, nhà chức trách Lithuania khám xét nơi ở của nghi phạm và thu giữ 22 tang vật, gồm điện thoại di động, laptop và các thiết bị liên quan.
Về sau, nghi phạm bị nhà chức trách Georgia bắt giữ sau khi nhập cảnh vào tháng 4. Hàn Quốc đã gửi yêu cầu dẫn độ và sau quá trình điều tra kéo dài 5 năm 4 tháng, nghi phạm được đưa về Hàn Quốc để phục vụ tố tụng.
Cảnh sát kêu gọi cảnh giác khi giao dịch tài sản số và siết chặt chống tội phạm mạng
Nhà chức trách khuyến cáo người dùng tiền điện tử cần thận trọng, báo cáo ngay khi phát hiện dấu hiệu bị chuyển hướng giao dịch, và tránh phần mềm không rõ nguồn gốc.
Trong thông cáo, cảnh sát Hàn Quốc trấn an người dân và nhấn mạnh sẽ truy bắt các đối tượng tấn công tài chính số. Park Woo-hyun, người đứng đầu mảng điều tra an ninh mạng thuộc Cơ quan Cảnh sát Quốc gia, cảm ơn các quốc gia đã hợp tác và cho biết Hàn Quốc sẽ tiếp tục phản ứng “mạnh mẽ và kiên quyết” với tội phạm mạng xuyên biên giới thông qua phối hợp thực thi pháp luật và cơ chế dẫn độ.
Người dân cũng được nhắc nhở theo dõi bất thường khi sử dụng tài sản số, và liên hệ cơ quan chức năng ngay khi nghi ngờ mình là nạn nhân của hành vi trộm cắp. Cảnh sát đồng thời cảnh báo tránh tham gia hoạt động phi pháp hoặc liên hệ với các đối tượng đáng ngờ.
Những câu hỏi thường gặp
Vì sao malware có thể khiến tiền điện tử bị gửi nhầm sang ví của kẻ tấn công?
Điều tra viên cho biết mã độc dùng kỹ thuật “memory hacking” để tự động thay thế địa chỉ ví mà người dùng định gửi bằng địa chỉ ví của kẻ tấn công ngay trong lúc giao dịch được tạo và ký gửi.
KMSAuto trong vụ việc bị cáo buộc ngụy trang dưới dạng gì?
KMSAuto bị cáo buộc được phát tán như một công cụ kích hoạt Microsoft Windows, đánh vào người dùng tìm phần mềm “activation” không chính thống.
Quy mô lây nhiễm và số giao dịch bị chặn được mô tả như thế nào?
Báo cáo nêu malware được chia sẻ hơn 2 triệu lần trên toàn cầu, hơn 3.100 ví bị nhiễm và các giao dịch bị chặn 840 lần, với tổng giá trị khoảng 1,7 tỷ won.
Hàn Quốc đã làm gì để bắt và dẫn độ nghi phạm?
Cảnh sát cho biết đã phối hợp với cơ quan tư pháp và thực thi pháp luật Lithuania, đồng thời đề nghị Interpol phát lệnh truy nã đỏ; sau đó nghi phạm bị bắt tại Georgia và được dẫn độ về Hàn Quốc.
