Một đội quân tội phạm mạng tinh vi mạo danh nhân viên công nghệ để thực hiện các cuộc tấn công tiền ảo, được cho là có nguồn gốc từ Triều Tiên.

Năm ngoái, một kỹ sư trẻ (giấu tên) được một nhà tuyển dụng liên hệ qua LinkedIn và đưa cho anh ta một lời đề nghị công việc có mức thu nhập khủng tại công ty trò chơi blockchain của Sky Mavis.

Tuy nhiên, anh kỹ sư này không hề biết rằng, mình sắp được tuyển dụng để làm việc cho một tổ chức chuyên chiếm đoạt tài sản qua mạng của các tin tặc (hacker) Triều Tiên.

Theo Wall Street Journal, hoạt động này mang lại nguồn tiền cho chương trình hạt nhân vốn đang gặp khó khăn về nguồn kinh phí của Bình Nhưỡng. Các nạn nhân sẽ thường nhận được một đường link dẫn trò chơi trên thực tế là một mã máy tính độc hại có tên là Trojan Horse, cho phép các hacker Triều Tiên truy cập vào máy tính của người dùng.

Hậu quả là nhóm tin tặc này đã đánh cắp hơn 600 triệu USD từ những người dùng truy cập vào chơi trò chơi thú cưng kỹ thuật số có tên Axie Infinity của công ty Sky Mavis.

Theo công ty phân tích chuỗi khối Chainalysis (Mỹ), đây là vụ trộm kỹ thuật số có quy mô lớn nhất trong vòng 5 năm qua và đã thu về hơn 3 tỷ USD cho Triều Tiên. Các quan chức Mỹ cho biết số tiền này đang được sử dụng để tài trợ cho khoảng 50% chương trình tên lửa đạn đạo được phát triển song song với vũ khí hạt nhân của Triều Tiên. 

1
Cơ quan An ninh và Internet Hàn Quốc giám sát các cuộc tấn công mạng từ tin tặc Triều Tiên. (Ảnh: Yonhap)

Được biết, lĩnh vực quốc phòng chiếm một phần rất lớn trong tổng chi tiêu của Triều Tiên. Theo ước tính của Bộ Ngoại giao Mỹ, năm 2019, Bình Nhưỡng đã chi khoảng 4 tỷ USD cho quốc phòng, chiếm 26% tổng GDP của nước này.

Ông Aleksander Larsen, giám đốc điều hành của Sky Mavis cho biết, mặc dù công ty hiện đã hoàn trả tiền cho các nạn nhân của vụ tấn công mạng, nhưng vụ việc đã đe dọa lớn đến sự tồn tại của doanh nghiệp. 

Các vụ tấn công mạng của Triều Tiên trong suốt năm 2022 đã gây ra những lo ngại nghiêm trọng cho người dùng trên khắp thế giới nói chung và ở Mỹ nói riêng, đồng thời thu hút sự chú ý của Nhà Trắng. Bà Anne Neuberger, phó cố vấn an ninh quốc gia của Tổng thống Biden về công nghệ mạng cho biết: “Sự gia tăng các vụ tấn công mạng quy mô lớn trong năm ngoái đã đe dọa nghiêm trọng đến các cơ sở hạ tầng tiền điện tử trung tâm trên toàn thế giới. Đó là những đơn vị, tổ chức sở hữu số tiền ảo khổng lồ như công ty Sky Mavis. Thực tế này đã thúc đẩy chúng tôi tập trung cao độ vào việc chống lại hoạt động này.”

Tiền ảo được sử dụng cho mục đích quân sự?

Những “kẻ trộm kỹ thuật số” Triều Tiên bắt đầu thực hiện các cuộc tấn công tiền điện tử lớn đầu tiên vào khoảng năm 2018. Kể từ đó, các đợt phóng thử tên lửa của Triều Tiên cũng tăng lên như nấm với hơn 42 vụ thành công được ghi nhận vào năm 2022.

Các quan chức Mỹ cảnh báo còn rất nhiều điều chưa minh bạch về các nguồn tiền của Triều Tiên trong bối cảnh các lệnh trừng phạt của phương Tây vẫn đang siết chặt ở quốc gia này. Bởi vậy, rất khó để giải thích về số tiền khổng lồ mà Bình Nhưỡng “đổ” cho các cuộc thử nghiệm tên lửa ngày càng tăng.

2
Nguồn gốc về số tiền khổng lồ mà Bình Nhưỡng “đổ” cho các cuộc thử nghiệm tên lửa ngày càng tăng hiện vẫn là một dấu hỏi lớn. (Ảnh: BBC)

Tập đoàn quản lý đầu tư Neuberger của Mỹ cho biết, khoảng 50% nguồn vốn ngoại tệ của Triều Tiên được dùng để mua các linh kiện nhập ngoại cho chương trình tên lửa đạn đạo của nước này. Đây là sự gia tăng mạnh so với các ước tính trước đó, đưa con số này lên 1/3 tổng kinh phí cho các chương trình.

Các quan chức Mỹ cho biết Triều Tiên đã xây dựng một lực lượng lao động ngầm gồm hàng nghìn kỹ sư công nghệ thông tin (CNTT) hoạt động ở các quốc gia trên thế giới, bao gồm cả Nga và Trung Quốc. Trung bình mỗi nhân lực có thể mang về hơn 300.000 USD/năm – một con số tương đối lớn nếu như chỉ làm công việc công nghệ thông thường. 

Các nhà điều tra cho biết, lý do thực sự khiến khoản thù lao của ngành nghề này trở nên hấp dẫn như vậy là do lực lượng lao động này thường được liên kết với các hoạt động tội phạm mạng.

Cụ thể, những nhân viên này thường giả mạo là làm nhân viên CNTT đến từ Canada, quan chức chính phủ hay nhà phát triển blockchain tự do của Nhật Bản. Sau đó, họ sẽ thực hiện các cuộc phỏng vấn qua video để kiếm việc làm, hay như trường hợp về Sky Mavis, họ có thể giả làm nhà tuyển dụng tiềm năng. 

Để được các công ty tiền ảo tuyển dụng, họ sẽ thuê những “bình phong” ở các nước phương Tây. Về cơ bản là những diễn viên ngồi trong các cuộc phỏng vấn trực tuyến xin việc để che giấu sự thật rằng người Triều Tiên mới là những người thực sự đứng đằng sau mánh khoé này. Các nạn nhân và giới điều tra cho biết, đôi khi những diễn viên này sẽ thực hiện những thay đổi nhỏ đối với các sản phẩm để tránh bị nghi ngờ.

Một phương thức khác được tin tặc Triều Tiên bắt đầu sử dụng 2 năm trở lại đây tại Mỹ là lây nhiễm mã độc tống tiền cho các bệnh viện. Đây là một loại tấn công mạng trong đó tin tặc khóa các tệp dữ liệu quan trọng của cơ quan nơi nạn nhân làm việc và yêu cầu họ trả tiền cho việc giải phóng chúng.

Nick Carlsen, cựu nhà phân tích của FBI, hiện làm việc cho công ty theo dõi chuỗi khối TRM Labs, cho biết việc loại bỏ những nhân viên CNTT giả mạo này là một vấn đề cấp bách cần được xử lý càng sớm càng tốt.

Cuộc chạy đua vũ trang với tin tặc

Các chuyên gia quốc tế từ lâu đã nói rằng Triều Tiên đã phát triển một "đội quân cướp ngân hàng kỹ thuật số" để né tránh các lệnh trừng phạt khắc nghiệt của phương Tây. Đồng thời nhằm hỗ trợ tham vọng thể hiện sức mạnh địa chính trị thông qua vũ khí hạt nhân và tên lửa đạn đạo.

Một báo cáo của Liên hợp quốc năm 2020 cho thấy hoạt động xâm nhập và giả mạo thông tin của Bình Nhưỡng đã được chứng minh là có “rủi ro thấp, lợi ích cao và khó bị phát hiện, đồng thời mức độ ngày càng tinh vi của chúng có thể dễ dàng qua mặt được các cơ quan có thẩm quyền quốc tế”.

Trong nhiều năm, Mỹ và các chính phủ phương Tây khác đã đổ lỗi cho Triều Tiên về một loạt các cuộc tấn công mạng trắng trợn, từ vụ tấn công mạng hãng phim Sony Pictures thuộc tập đoàn Sony (Nhật Bản) vào năm 2014 cho đến cuộc tấn công bằng mã độc tống tiền quy mô lớn trên toàn cầu vào năm 2017. Theo các quan chức và chuyên gia an ninh Mỹ, Bình Nhưỡng ngày càng sử dụng triệt để các cuộc tấn công mạng vào việc tạo ra nguồn tiền, đồng thời cải thiện đáng kể mức độ phức tạp về kỹ thuật để thực hiện các vụ trộm quy mô lớn.

Đại diện Neuberger đánh giá: “Hầu hết các chương trình mạng của các quốc gia đều tập trung vào khả năng gián điệp hoặc tấn công vì các mục đích địa chính trị truyền thống. Tuy nhiên, người Triều Tiên lại sử dụng nó vào hành vi chiếm đoạt tiền tệ để luồn lách khỏi sự nghiêm ngặt của các lệnh trừng phạt quốc tế.”

3
Các quan chức Mỹ nghi ngờ Triều Tiên sử dụng số tiền chiếm đoạt được từ các vụ tấn công mạng làm ngân sách cho các vụ thử nghiệm tên lửa ngày càng dày đặc. (Ảnh: thehackernews)

Vào năm 2016, các tin tặc có liên quan đến Triều Tiên đã đánh cắp 81 triệu USD từ Ngân hàng Trung ương Bangladesh. Kế hoạch này nằm trong một phần trong âm mưu chiếm đoạt tiền ảo trị giá 1 tỷ USD, song đã bị Ngân hàng Dự trữ Liên bang New York triệt phá. 

Một hình thức khác cũng được các hacker Triều Tiên sử dụng là đánh cắp tiền từ các máy ATM, họ có thể kiếm được hơn 100.000 USD tiền điện tử từ một loại phần mềm độc lại có mã độc tống tiền tự lan truyền có tên là WannaCry. Tuy nhiên, không có phương thức nào sinh lợi bằng chuỗi vụ trộm tiền điện tử của họ từ năm 2018.

Đồng thời, Bình Nhưỡng đã thể hiện sự táo bạo hơn với kỹ thuật xã hội khi tin tặc của họ ngày càng tinh vi hơn về mặt kỹ thuật. Kỹ năng thượng thừa của tội phạm mạng Triều Tiên trong năm qua đã gây ấn tượng với các quan chức và giới nghiên cứu Mỹ, một số người cho biết họ đã chứng kiến ​​tin tặc nước này thực hiện các thao tác phức tạp chưa từng thấy ở bất kỳ nơi nào khác. 

Trong một cuộc tấn công mạng đáng chú ý vào đầu năm nay, các tin tặc Triều Tiên đã thực hiện điều mà các nhà nghiên cứu bảo mật cho là “một cuộc tấn công chuỗi cung ứng theo tầng” đầu tiên thuộc loại này. Chúng xâm nhập vào máy chủ từng nhà sản xuất phần mềm và làm hỏng sản phẩm của họ để giành quyền truy cập vào hệ thống máy tính của khách hàng.

Để dàn dựng cuộc tấn công, trước tiên chúng đã thỏa hiệp với một nhà sản xuất phần mềm giao dịch trực tuyến có tên là Trading Technologies. Một phiên bản sản phẩm lỗi của công ty này sau đó đã được một nhân viên của 3CX, một công ty đối tác phát triển phần mềm của Trading Technologies, tải xuống và sau đó sử dụng quyền truy cập vào hệ thống nội bộ để làm hỏng phần mềm của chính mình.

Theo các nhà điều tra, dựa vào kẽ hở này, các tin tặc Triều Tiên đã có thể đột nhập vào các dữ liệu khách hàng của 3CX, bao gồm cả các sàn giao dịch tiền điện tử.

Trading Technologies cho biết họ đã thuê một công ty pháp y để điều tra vụ việc, đồng thời cho hay họ đã ngừng hoạt động phần mềm trên vào tháng 4/2020 - hai năm trước khi 3CX bị xâm phạm.

3CX khẳng định họ đã tăng cường các biện pháp bảo mật kể từ vụ tấn công. Giám đốc điều hành 3CX, Nick Galea, cho biết công ty chưa thống kê được có tất cả bao nhiêu khách hàng bị ảnh hưởng nhưng suy đoán rằng đó chỉ là một con số nhỏ vì vụ việc được phát hiện khá nhanh chóng.

Phương Thảo / VTC News