TRM Labs บริษัทด้านบล็อกเชนระบุว่า การขโมยคริปโตเคอร์เรนซีที่เกิดขึ้นอย่างต่อเนื่องในขณะนี้ ถูกตรวจสอบย้อนรอยกลับไปได้ถึงเหตุข้อมูลรั่วไหลของ LastPass ในปี 2022 โดยผู้โจมตีได้ทำการขโมยเงินจาก Wallets มาหลายปีหลังจากที่ encrypted vaults ถูกขโมยไป และผู้โจมตีทำการฟอกเงินคริปโตเหล่านั้นผ่านเว็บแลกเปลี่ยนของรัสเซีย
ในปี 2022 LastPass ได้เปิดเผยว่าผู้โจมตีได้เจาะระบบของพวกเขาโดยการเข้าแทรกแซง developer environment ทำให้สามารถขโมย source code บางส่วนของบริษัท และข้อมูลทางเทคนิคที่เป็นกรรมสิทธิ์ไปได้
ในเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นภายหลังแต่เกี่ยวเนื่องกัน แฮ็กเกอร์ได้เจาะระบบบริษัทจัดเก็บข้อมูลบนคลาวด์ GoTo โดยใช้ข้อมูล credentials ที่ขโมยมาได้ก่อนหน้านี้ และขโมยไฟล์ database backups ของ LastPass ที่เก็บไว้บนแพลตฟอร์มนั้น สำหรับลูกค้าบางราย encrypted password vaults เหล่านี้ไม่เพียงแต่บรรจุรหัสผ่านเท่านั้น แต่ยังรวมถึง Private Keys ของกระเป๋าเงินคริปโต และ Seed Phrases อีกด้วย
แม้ว่า vaults เหล่านั้นจะถูกเข้ารหัสไว้ แต่ผู้ใช้ที่มี Master Password ที่คาดเดาง่าย หรือใช้รหัสซ้ำ ก็มีความเสี่ยงต่อการถูกสุ่มถอดรหัสแบบออฟไลน์ได้ ซึ่งเชื่อว่ามีการดำเนินการมาอย่างต่อเนื่องนับตั้งแต่เกิดเหตุข้อมูลรั่วไหล
LastPass ได้เตือนไว้เมื่อตอนที่เปิดเผยเหตุการณ์ข้อมูลรั่วไหล "ขึ้นอยู่กับความยาว และความซับซ้อนของ Master Password ของผู้ใช้งาน รวมถึงการตั้งค่าจำนวนรอบการเข้ารหัส (Iteration count) ผู้ใช้งานอาจจำเป็นต้องทำการรีเซ็ต master password"
ความเชื่อมโยงระหว่างเหตุข้อมูลรั่วไหลของ LastPass และการขโมยคริปโต ได้รับการยืนยันเพิ่มเติมโดยหน่วยสืบราชการลับของสหรัฐฯ (U.S. Secret Service) ซึ่งในปี 2025 ได้ยึดคริปโตเคอร์เรนซีมูลค่ากว่า 23 ล้านดอลลาร์ และระบุว่าผู้โจมตีได้รับ Private Keys ของเหยื่อโดยการ decrypting vault data ที่ถูกขโมยไปในเหตุการณ์ข้อมูลรั่วไหลของโปรแกรม password manager
ในเอกสารที่ยื่นต่อศาล เจ้าหน้าที่ระบุว่า ไม่มีหลักฐานว่าอุปกรณ์ของเหยื่อถูกเจาะผ่านฟิชชิง หรือมัลแวร์ และพวกเขาเชื่อว่าการขโมยครั้งนี้เชื่อมโยงกับ password vaults ที่ถูกขโมยไป
การขโมยคริปโตที่เชื่อมโยงกับเหตุข้อมูลรั่วไหลของ LastPass
ในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้ว TRM ระบุว่า การโจมตีเพื่อขโมยคริปโตเคอร์เรนซีที่ยังคงดำเนินอยู่นี้ ถูกตรวจสอบย้อนรอยกลับไปถึงการนำ encrypted password vaults ของ LastPass ซึ่งถูกขโมยไปในปี 2022 มาใช้ประโยชน์
แทนที่กระเป๋าเงินจะถูกขโมยเงินทันทีหลังจากเกิดเหตุข้อมูลรั่วไหล การขโมยกลับเกิดขึ้นเป็นระลอกในอีกหลายเดือน หรือหลายปีต่อมา ซึ่งแสดงให้เห็นภาพว่าผู้โจมตีค่อย ๆ ทำการ decrypting vaults และดึงข้อมูล credentials ที่เก็บไว้ออกมาอย่างช้า ๆ
กระเป๋าเงินที่ได้รับผลกระทบถูกขโมยเงินโดยใช้วิธีการทำธุรกรรมที่คล้ายคลึงกัน โดยไม่มีรายงานเกี่ยวกับการโจมตีใหม่ ๆ ซึ่งแสดงให้เห็นว่าผู้โจมตีได้ครอบครอง Private Keys ไว้ก่อนที่จะเกิดการขโมยแล้ว
TRM ระบุกับ BleepingComputer ว่า "ความเชื่อมโยงในรายงานนี้ไม่ได้อิงจากการระบุตัวตนไปยังบัญชี LastPass แต่ละบัญชีโดยตรง แต่มาจากการเชื่อมโยงกิจกรรมที่เกิดขึ้นเข้ากับรูปแบบผลกระทบของเหตุข้อมูลรั่วไหลปี 2022"
"สิ่งนี้สร้างสถานการณ์ที่การขโมยเงินจากกระเป๋าจะเกิดขึ้นหลังจากเหตุข้อมูลรั่วไหลต้นทางเป็นเวลานาน แทนที่จะเกิดขึ้นทันที และเกิดขึ้นเป็นระลอกที่ชัดเจน"
TRM ระบุกับ BleepingComputer ว่า การสืบสวนของพวกเขาเริ่มต้นจากรายงานจำนวนหนึ่ง รวมถึงข้อมูลที่ส่งไปยัง Chainabuse ซึ่งผู้ใช้ระบุว่าเหตุข้อมูลรั่วไหลของ LastPass เป็นช่องทางที่ทำให้กระเป๋าเงินของพวกเขาถูกขโมย
นักวิจัยได้ขยายผลการสืบสวนโดยการระบุพฤติกรรมการทำธุรกรรมคริปโตเคอร์เรนซีในเคสอื่น ๆ เพื่อเชื่อมโยงการขโมยเหล่านั้นเข้ากับแคมเปญการขโมยข้อมูล LastPass
TRM ระบุกับ BleepingComputer ว่า ส่วนที่สำคัญที่สุดของงานวิจัยของพวกเขาคือความสามารถในการติดตามเงินที่ถูกขโมย แม้หลังจากที่มันถูกนำไป Mixed โดยใช้ฟีเจอร์ CoinJoin ของ Wasabi Wallet แล้วก็ตาม
CoinJoin เป็นเทคนิคความเป็นส่วนตัวของ Bitcoin ที่รวมธุรกรรมจากผู้ใช้หลายคนเข้าเป็นธุรกรรมเดียว ทำให้ยากต่อการระบุว่าอินพุตใดสอดคล้องกับเอาต์พุตใด
Wasabi Wallet มีฟีเจอร์ CoinJoin ติดตั้งมาในตัว ช่วยให้ผู้ใช้สามารถผสม Bitcoin ของตนกับผู้อื่นได้โดยอัตโนมัติเพื่ออำพรางธุรกรรมโดยไม่ต้องพึ่งพาบริการ Mixing service ภายนอก
หลังจากขโมยเงินจากกระเป๋าแล้ว ผู้โจมตีได้แปลงคริปโตที่ขโมยมาเป็น Bitcoin ส่งผ่าน Wasabi Wallet และพยายามซ่อนร่องรอยโดยใช้ธุรกรรมแบบ CoinJoin
อย่างไรก็ตาม TRM ระบุว่า พวกเขาสามารถแยกแยะคริปโตเคอร์เรนซีที่ส่งผ่านธุรกรรม CoinJoin ได้ โดยการวิเคราะห์ลักษณะทางพฤติกรรม เช่น โครงสร้างของธุรกรรม เวลา และทางเลือกในการตั้งค่ากระเป๋าเงิน
"แทนที่จะพยายามแยกแยะการขโมยแต่ละรายการอย่างเดี่ยว ๆ นักวิเคราะห์ของ TRM ได้วิเคราะห์กิจกรรมนี้ในฐานะแคมเปญที่มีการประสานงานกัน โดยระบุกลุ่มก้อนของการฝาก และถอนเงินใน Wasabi เมื่อเวลาผ่านไป ด้วยการใช้เทคนิคการแยกแยะของพวกเขา นักวิเคราะห์ได้จับคู่การฝากเงินของแฮ็กเกอร์กับกลุ่มการถอนเงินที่เฉพาะเจาะจง ซึ่งมีมูลค่ารวม และเวลาสอดคล้องอย่างใกล้ชิดกับเงินขาเข้า ซึ่งเป็นความสอดคล้องที่ในทางสถิติไม่น่าจะเป็นเรื่องบังเอิญ"
"Blockchain fingerprints ที่สังเกตเห็นก่อนการ Mixed รวมกับข้อมูลข่าวกรองที่เกี่ยวข้องกับกระเป๋าเงินหลังกระบวนการ Mixed ชี้ไปที่การควบคุมการปฏิบัติการที่มีฐานอยู่ในรัสเซียอย่างสม่ำเสมอ ความต่อเนื่องข้ามขั้นตอนก่อนการ Mixed และหลังการ Mixed ช่วยเพิ่มความมั่นใจว่ากิจกรรมการฟอกเงินนี้ดำเนินการโดยผู้กระทำผิดที่ปฏิบัติการอยู่ภายใน หรือมีความผูกพันใกล้ชิดกับอาชญากรรมไซเบอร์ของรัสเซีย"
ด้วยการมองว่าการขโมยเหล่านี้เป็นแคมเปญที่มีการประสานงานกันแทนที่จะเป็นการเจาะระบบรายบุคคล TRM สามารถจับคู่กลุ่มการฝากเงินใน Wasabi กับรูปแบบการถอนเงินที่ตรงกับการโจมตีเพื่อขโมยคริปโตผ่านทางเหตุข้อมูลรั่วไหลของ LastPass
การถอนเงินในช่วงแรก ๆ หลังจากที่กระเป๋าเงินถูกขโมย ยิ่งแสดงให้เห็นว่า แฮ็กเกอร์กลุ่มเดียวกับที่ขโมยเงิน คือผู้อยู่เบื้องหลังกิจกรรมการ Mixed เหรียญนี้
ด้วยการใช้เทคนิคนี้ TRM ประเมินว่าคริปโตเคอร์เรนซีมูลค่ากว่า 28 ล้านดอลลาร์ถูกขโมย และฟอกผ่าน Wasabi Wallet ในช่วงปลายปี 2024 และต้นปี 2025 และอีก 7 ล้านดอลลาร์เชื่อมโยงกับระลอกการโจมตีที่เกิดขึ้นในภายหลังเมื่อเดือนกันยายน 2025
TRM ระบุว่า เงินทุนถูกถอนออกซ้ำ ๆ ผ่านเว็บแลกเปลี่ยนที่มีความเชื่อมโยงกับรัสเซียเดิม ๆ รวมถึง Cryptex และ Audi6 ซึ่งยิ่งแสดงให้เห็นว่า แฮ็กเกอร์กลุ่มเดิมเป็นผู้อยู่เบื้องหลังเหตุการณ์เหล่านี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.