Cù Tuấn biên dịch
Tóm tắt: Chế độ Triền Tiên đã đào tạo tội
phạm mạng để mạo danh nhân viên công nghệ hoặc người sử dụng lao động và các âm
mưu khác
*
Năm ngoái, một kỹ sư làm việc cho công ty trò
chơi blockchain Sky Mavis nghĩ rằng anh ấy sắp có một công việc mới và được trả
nhiều tiền hơn.
Một nhà tuyển dụng đã liên hệ với anh ấy qua
LinkedIn và sau khi hai người nói chuyện qua điện thoại, nhà tuyển dụng đã gửi
cho kỹ sư này một tài liệu để xem xét như một phần của quá trình phỏng vấn.
Nhưng người tuyển dụng này là một phần của một
hoạt động rộng lớn của Bắc Triều Tiên nhằm mang lại đô la cho một chế độ độc
tài nghèo tiền mặt. Và tài liệu họ gửi là một con ngựa thành Troia, một mã máy
tính độc hại cho phép tin tặc Triều Tiên truy cập vào máy tính của kỹ sư này và
cho phép tin tặc đột nhập vào công ty Sky Mavis. Cuối cùng, họ đã đánh cắp
thành công hơn 600 triệu đô la Mỹ—hầu hết từ những người chơi trò chơi thú cưng
kỹ thuật số Axie Infinity của Sky Mavis.
Theo công ty phân tích chuỗi khối Chainalysis,
đây là vụ trộm cắp kỹ thuật số lớn nhất của Triều Tiên trong 5 năm qua. Các vụ
trộm cắp này đã thu về hơn 3 tỷ đô la cho người Triều Tiên. Các quan chức Mỹ
cho biết số tiền đó đang được sử dụng để tài trợ cho khoảng 50% chương trình
tên lửa đạn đạo của Triều Tiên, được phát triển song song với vũ khí hạt nhân.
Chi phí quốc phòng chiếm một phần rất lớn trong tổng chi tiêu của Triều Tiên; Bộ
Ngoại giao Mỹ ước tính vào năm 2019, Bình Nhưỡng đã chi khoảng 4 tỷ đô la Mỹ
cho quốc phòng, chiếm 26% tổng nền kinh tế của nước này.
Aleksander Larsen, giám đốc điều hành của công
ty cho biết, mặc dù Sky Mavis hiện đã hoàn trả tiền cho các nạn nhân của cuộc tấn
công mạng trên, nhưng vụ việc này đã đe dọa đến sự tồn tại của công ty khi đó mới
chỉ 4 năm tuổi. “Khi bạn nhìn vào số tiền bị đánh cắp, [nó] sẽ giống như một mối
đe dọa mang tính sinh tồn đối với những gì bạn đang dày công xây dựng.”
Vụ việc cũng thu hút sự chú ý của Nhà Trắng,
nơi nó và các cuộc tấn công tiền điện tử khác của Triều Tiên trong suốt năm
2022 đã gây ra những lo ngại nghiêm trọng. Anne Neuberger, phó cố vấn an ninh
quốc gia của Tổng thống Biden về công nghệ mạng và mới nổi cho biết: “Sự gia
tăng thực sự trong năm ngoái đã chống lại hệ thống cơ sở hạ tầng tiền điện tử tập
trung trên toàn thế giới, mà lưu giữ số lượng tiền lớn như Sky Mavis, đã dẫn đến
nhiều vụ trộm quy mô lớn hơn”. Điều đó đã thúc đẩy chúng tôi tập trung cao độ
vào việc chống lại các hoạt động này.”
Những kẻ trộm kỹ thuật số của Triều Tiên bắt đầu
thực hiện các cuộc tấn công tiền điện tử lớn đầu tiên của chúng vào khoảng năm
2018. Kể từ đó, các nỗ lực và thành công phóng tên lửa của Triều Tiên đã tăng
lên như nấm, với hơn 42 vụ thành công được ghi nhận vào năm 2022, theo dữ liệu
được theo dõi bởi Trung tâm nghiên cứu không phổ biến vũ khí hạt nhân James
Martin.
Các quan chức Mỹ cảnh báo rằng còn rất nhiều
điều chưa biết về các nguồn tiền của Triều Tiên trong bối cảnh các lệnh trừng
phạt của phương Tây. Họ không thể hiểu chính xác về vai trò của hành vi trộm cắp
tiền điện tử trong tỷ lệ thử nghiệm tên lửa ngày càng tăng. Nhưng mức độ tăng dần
của các thử nghiệm hạt nhân của chế độ hầu như ít ai biết tới của Kim Jong Un
đã xảy ra cùng lúc với sự gia tăng đáng lo ngại của các vụ trộm tiền điện tử.
Neuberger cho biết, khoảng 50% nguồn vốn ngoại
tệ của Triều Tiên để mua các bộ phận từ nước ngoài cho chương trình tên lửa đạn
đạo của nước này hiện được chi trả nhờ các hoạt động trên mạng của chế độ. Đó
là một sự gia tăng mạnh so với các ước tính trước đó, đưa con số này lên một phần
ba tổng kinh phí cho các chương trình.
Các quan chức Mỹ cho biết Triều Tiên đã xây dựng
một lực lượng lao động ngầm gồm hàng nghìn công nhân CNTT hoạt động ở các quốc
gia trên thế giới, bao gồm cả Nga và Trung Quốc. Những người này kiếm được tiền—đôi
khi hơn 300.000 đô la một năm—tron các công việc công nghệ thông thường. Nhưng
lực lượng lao động này thường được liên kết với các hoạt động tội phạm mạng của
Triều Tiên, theo các nhà điều tra.
Tin tặc Triều Tiên đã giả làm công nhân CNTT
Canada, quan chức chính phủ và nhà phát triển blockchain tự do của Nhật Bản. Họ
thực hiện các cuộc phỏng vấn qua video để kiếm việc làm, hoặc, như ví dụ về Sky
Mavis, bằng cách giả làm nhà tuyển dụng tiềm năng.
Để được các công ty tiền điện tử tuyển dụng, họ
sẽ thuê “những người bình phong” phương Tây — về cơ bản là những diễn viên ngồi
trong các cuộc phỏng vấn xin việc để che giấu sự thật rằng người Bắc Triều Tiên
mới là những người thực sự được thuê làm. Sau khi được thuê, đôi khi họ sẽ thực
hiện những thay đổi nhỏ đối với các sản phẩm họ làm, cho phép họ có thể tấn
công vào hệ thống, theo các nạn nhân cũ và các nhà điều tra.
Bắt đầu từ hai năm trước, các tin tặc có liên
quan đến Triều Tiên đã bắt đầu lây nhiễm các mã độc tống tiền vào các bệnh viện
của Mỹ — một loại tấn công mạng trong đó tin tặc khóa các file của công ty nạn
nhân và yêu cầu phải trả tiền thì mới giải mã chúng — nhằm mục đích gây quỹ,
các quan chức Mỹ cho biết.
Nick Carlsen, cựu phân tích viên của FBI, làm
việc cho công ty truy tìm blockchain TRM Labs, cho biết: “Có vẻ như đó là một
quốc gia cướp biển thời hiện đại. Họ tập trung càn quét các công ty bên
ngoài."
Carlsen và những người khác trong ngành công
nghiệp tiền điện tử nói rằng việc loại bỏ những nhân viên CNTT giả mạo này là một
vấn đề thường xuyên.
Các chuyên gia quốc tế từ lâu đã nói rằng Triều
Tiên đã phát triển một đội quân cướp ngân hàng kỹ thuật số để trốn tránh các lệnh
trừng phạt khắc nghiệt và hỗ trợ tham vọng thể hiện sức mạnh địa chính trị
thông qua vũ khí hạt nhân và tên lửa đạn đạo. Một báo cáo của Liên Hợp Quốc năm
2020 cho thấy hoạt động hack tạo doanh thu của chế độ này đã được chứng minh là
“có rủi ro thấp, có phần thưởng cao và rất khó phát hiện, đồng thời mức độ tinh
vi ngày càng tăng của chúng có thể cản trở việc quy kết trách nhiệm”.
Trong nhiều năm, Mỹ và các chính phủ phương
Tây khác đã đổ lỗi cho Triều Tiên về một loạt vụ tấn công mạng trắng trợn—và
đôi khi được thực hiện một cách bừa bãi—từ vụ tấn công Sony Pictures năm 2014
cho đến vụ tấn công ransomware quy mô lớn toàn cầu vào năm 2017. Tuy nhiên, quốc
gia này ngày càng tìm cách tập trung vào Theo các quan chức và chuyên gia an
ninh Mỹ, các cuộc tấn công mạng nhằm tạo ra lượng tiền mặt, đồng thời cải thiện
đáng kể mức độ tinh vi kỹ thuật của nó để thực hiện các vụ trộm quy mô lớn.
Neuberger của Nhà Trắng cho biết: “Hầu hết các
chương trình mạng của các quốc gia đều tập trung vào khả năng gián điệp hoặc tấn
công vì các mục đích địa chính trị truyền thống. Người Triều Tiên tập trung vào
hành vi trộm cắp, lấy tiền tệ mạnh để vượt qua sự nghiêm ngặt của các lệnh trừng
phạt quốc tế.”
Vào năm 2016, các tin tặc có liên quan đến Triều
Tiên đã đánh cắp 81 triệu đô la từ ngân hàng trung ương Bangladesh, đây là một
phần trong âm mưu đánh cắp mạng trị giá 1 tỷ đô la đã bị Ngân hàng Dự trữ Liên
bang New York phá vỡ.
Người Triều Tiên cũng đã đánh cắp tiền từ các
máy ATM và thậm chí kiếm được hơn 100.000 đô la tiền điện tử từ một loại sâu
đang lây lan nhanh chóng có tên là WannaCry, nhưng không có gì sinh lợi bằng
chuỗi vụ trộm tiền điện tử của họ, bắt đầu một cách nghiêm túc vào năm 2018,
theo Erin Plante, phó chủ tịch điều tra của Chainalysis. “Họ đã thực sự sớm
tham gia vào tiền điện tử và họ là một trong những người dùng tiền điện tử tiên
tiến nhất từ rất sớm.”
Đồng thời, Bình Nhưỡng đã thể hiện sự táo bạo
hơn với kỹ thuật lừa đảo qua liên kết xã hội, tin tặc của họ ngày càng tinh vi
hơn về mặt kỹ thuật lừa đảo. Kỹ năng của tội phạm mạng Triều Tiên trong năm qua
đã gây ấn tượng với các quan chức và nhà nghiên cứu Mỹ, và một số người cho biết
họ đã chứng kiến tin tặc của nước này thực
hiện các thao tác phức tạp chưa từng thấy ở bất kỳ nơi nào khác.
Trong một cuộc tấn công đáng chú ý vào đầu năm
nay, các tin tặc có liên quan đến Triều Tiên đã thực hiện điều mà các nhà
nghiên cứu bảo mật cho là một cuộc tấn công chuỗi cung ứng theo tầng đầu tiên
thuộc loại này. Họ đột nhập vào từng nhà sản xuất phần mềm và làm hỏng sản phẩm
của họ để giành quyền truy cập vào hệ thống máy tính của khách hàng.
Để dàn dựng cuộc tấn công, trước tiên họ đã thỏa
hiệp với một nhà sản xuất phần mềm giao dịch trực tuyến có tên là Trading
Technologies. Một phiên bản bị hỏng của sản phẩm của công ty đó sau đó đã được
một nhân viên của 3CX, công ty phát triển phần mềm, tải xuống và sau đó sử dụng
quyền truy cập vào hệ thống 3CX để làm hỏng phần mềm của công ty đó.
Theo các nhà điều tra, từ đó, Triều Tiên đã cố
gắng đột nhập vào các khách hàng của 3CX, bao gồm cả các sàn giao dịch tiền điện
tử.
Trading Technologies cho biết họ đã thuê một
công ty pháp y để điều tra vụ việc, nhưng họ đã ngừng hoạt động phần mềm được đề
cập vào tháng 4 năm 2020, khoảng hai năm trước khi công ty 3CX bị xâm phạm.
3CX cho biết họ đã tăng cường các biện pháp bảo
mật kể từ vụ hack này. Giám đốc điều hành Nick Galea cho biết công ty không biết
có bao nhiêu khách hàng cuối cùng bị ảnh hưởng nhưng nghi ngờ rằng đó là một
con số nhỏ vì vụ xâm nhập đã được phát hiện nhanh chóng.
“Chúng tôi đang phải chạy đua vũ trang với những
tin tặc này,” Larsen của Sky Mavis nói.
Ảnh: Các cáo buộc ở Los Angeles của Mỹ đối với
một công dân Bắc Triều Tiên trong một loạt các cuộc tấn công mạng cách đây vài
năm.
Hình : https://www.facebook.com/photo/?fbid=6568874099817881&set=a.124320747606614
.
.
Bài gốc :
https://www.wsj.com/.../how-north-koreas-hacker-army...
WSJ.COM
WSJ News Exclusive | How North Korea’s Hacker
Army Stole $3 Billion in Crypto, Funding Nuclear Program
No comments:
Post a Comment