Tin tặc Triều Tiên đã đánh cắp hàng tỷ đô tiền điện tử bằng cách đóng giả làm VC, nhà tuyển dụng và nhân viên CNTT

Tại hội nghị Cyberwarcon ở Washington DC, một báo cáo gây chú ý đã được công bố bởi các nhà nghiên cứu an ninh, đề cập đến một mối đe dọa lớn từ Triều Tiên trong lĩnh vực an ninh mạng. Theo đó, một nhà đầu tư mạo hiểm, một nhà tuyển dụng từ một công ty lớn, và một nhân viên CNTT làm việc từ xa đã bị phát hiện là những kẻ mạo danh bí mật cho chế độ Triều Tiên.

Các nhà nghiên cứu chỉ ra rằng tin tặc Triều Tiên đang nỗ lực lớn để giả mạo làm nhân viên tương lai của các công ty đa quốc gia. Những kẻ này không chỉ tìm cách kiếm tiền cho chế độ mà còn đánh cắp các bí mật công nghệ có thể hỗ trợ cho chương trình vũ khí hạt nhân của đất nước này. Từ năm 2010 đến nay, nhóm tin tặc này đã thu được hàng tỷ đô la từ tiền điện tử bị đánh cắp, giúp họ không bị ảnh hưởng bởi các lệnh trừng phạt quốc tế.

Nguồn hình ảnh:Hình ảnh Getty

James Elliott, một nhà nghiên cứu bảo mật tại Microsoft, cho biết rằng các tin tặc Triều Tiên đã thâm nhập vào "hàng trăm" tổ chức trên toàn thế giới, sử dụng danh tính giả để tránh các lệnh trừng phạt tài chính. Họ cũng dựa vào những người trung gian có trụ sở tại Mỹ để xử lý các máy tính và thu nhập, nhằm thực hiện các giao dịch mà không bị phát hiện.

Mối đe dọa từ Bắc Triều Tiên được miêu tả là đa dạng với nhiều nhóm hacker có chiến thuật và công nghệ khác nhau, nhưng đều nhắm đến mục tiêu chính là đánh cắp tiền điện tử. Một nhóm tin tặc được Microsoft gọi là "Ruby Sleet" đã tấn công các công ty trong lĩnh vực hàng không vũ trụ và quốc phòng để lấy cắp thông tin bí mật công nghiệp.

Ngoài ra, nhóm tin tặc mang tên "Sapphire Sleet" đã cải trang thành nhà đầu tư mạo hiểm và nhà tuyển dụng, thực hiện các chiến dịch nhằm đánh cắp tiền điện tử. Sau khi liên hệ với mục tiêu, chúng sẽ tạo cuộc họp ảo, nhưng thực chất đó là một mưu kế để lừa nạn nhân tải xuống phần mềm độc hại. Ví dụ, tên mạo danh có thể yêu cầu ứng viên tải một công cụ để khắc phục sự cố cuộc họp ảo, hoặc yêu cầu hoàn thành bài đánh giá kỹ năng có chứa mã độc. Chỉ trong vòng sáu tháng, nhóm này đã đánh cắp ít nhất 10 triệu đô la tiền điện tử.

Đặc biệt, một phương thức tấn công đang gia tăng là việc tin tặc giả làm nhân viên từ xa tại các 

công ty lớn, tận dụng sự bùng nổ làm việc từ xa do đại dịch Covid-19. Microsoft đã cảnh báo rằng các nhân viên CNTT đến từ Triều Tiên có thể được mô tả là một "mối đe dọa ba chiều". Điều này có nghĩa là họ không chỉ tìm cách kiếm tiền cho chế độ mà còn có khả năng đánh cắp bí mật công nghệ và sở hữu trí tuệ. Sau đó, họ có thể đe dọa các công ty bằng cách tiết lộ thông tin nhạy cảm để tống tiền.

Mặc dù hàng trăm công ty có thể đã vô tình tuyển dụng một điệp viên Triều Tiên, chỉ có một vài công ty công khai thừa nhận mình là nạn nhân. Chẳng hạn, công ty bảo mật KnowBe4 cho biết họ đã từng bị lừa thuê một nhân viên thực chất là một điệp viên Triều Tiên. Tuy nhiên, khi nhận ra điều này, công ty đã nhanh chóng chặn quyền truy cập từ xa của nhân viên này và khẳng định rằng không có dữ liệu nào của họ bị lộ.

Những thông tin này không chỉ làm nổi bật sự sáng tạo và tinh vi trong các chiến thuật của tin tặc Triều Tiên mà còn cảnh báo các công ty về nguy cơ an ninh mạng đang gia tăng từ những tổ chức mạo danh. Các nhà lãnh đạo doanh nghiệp cần thận trọng trong quy trình tuyển dụng và đảm bảo thực hiện các biện pháp xác minh kỹ càng đối với nhân viên làm việc từ xa để bảo vệ thông tin và tài sản của công ty.

Nhân viên CNTT Triều Tiên lừa đảo các công ty thuê họ như thế nào

Nhân viên CNTT Triều Tiên đã triển khai một chiến dịch tinh vi để tạo dựng uy tín chuyên nghiệp bằng cách thiết lập nhiều tài khoản trực tuyến, bao gồm hồ sơ trên LinkedIn và trang GitHub. Họ thường sử dụng công nghệ trí tuệ nhân tạo để tạo ra các danh tính giả, trong đó bao gồm cả việc sử dụng công nghệ hoán đổi khuôn mặt và thay đổi giọng nói.

Khi một nhân viên CNTT giả được tuyển dụng, công ty sẽ gửi cho họ laptop mới đến một địa chỉ ở Hoa Kỳ, thực chất là một địa chỉ mà công ty không biết, do một người hỗ trợ điều hành. Người này có nhiệm vụ thiết lập các máy tính xách tay do công ty cấp và cài đặt phần mềm truy cập từ xa. Nhờ đó, các điệp viên Triều Tiên có thể đăng nhập vào máy tính từ xa mà không bị phát hiện về vị trí thực sự của họ.

Theo Microsoft, những điệp viên này hoạt động không chỉ trong Triều Tiên mà còn tại Nga và Trung Quốc, hai quốc gia đồng minh gần gũi với Bình Nhưỡng. Điều này khiến các công ty phải khó khăn hơn trong việc nhận diện những kẻ mạo danh đang hoạt động trong mạng lưới của họ.

James Elliott, một nhà nghiên cứu từ Microsoft, đã tình cờ phát hiện ra một kho lưu trữ công khai thuộc về một nhân viên CNTT Triều Tiên, chứa đựng các bảng tính và tài liệu phân tích chi tiết về các chiến dịch này. Quan trọng hơn, nó bao gồm hồ sơ về các danh tính giả và sơ yếu lý lịch mà những điệp viên này đã sử dụng để xin việc, cũng như thông tin về số tiền họ kiếm được qua các hoạt động của mình.

Ngoài việc lạm dụng công nghệ tạo ra, những kẻ này cũng mắc phải những lỗi ngớ ngẩn có thể giúp nhà nghiên cứu phát hiện ra danh tính thật của chúng. Hoi Myong và một nhà nghiên cứu có biệt danh SttyK đã chia sẻ rằng họ đã liên lạc với một nhân viên CNTT bị nghi ngờ là người Triều Tiên, người này tự nhận là người Nhật, nhưng lại mắc lỗi ngôn ngữ trong các tin nhắn, như sử dụng từ và cụm từ không tồn tại trong tiếng Nhật. Những sai sót khác cũng được phát hiện, chẳng hạn như tuyên bố có tài khoản ngân hàng ở Trung Quốc nhưng lại sử dụng địa chỉ IP từ Nga.

Một bức ảnh logo Cyberwarcon được chiếu trên tường tại hội nghị an ninh mạng ở Washington DC.Nguồn hình ảnh: TechCrunch

Để đối phó với các hành vi này, chính phủ Hoa Kỳ đã áp đặt lệnh trừng phạt đối với các tổ chức có mối liên hệ với Triều Tiên và FBI đã cảnh báo về việc tin tặc thường sử dụng hình ảnh do AI tạo ra hoặc "deepfake" để đạt được công việc trong lĩnh vực công nghệ. Vào năm 2024, một số cá nhân điều hành các trang trại máy tính xách tay giúp lách lệnh trừng phạt đã bị truy tố.

Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng các công ty cần phải thực hiện kiểm tra kỹ lưỡng hơn đối với nhân viên tương lai của mình để ngăn ngừa tình trạng này. James Elliott đã cảnh báo: "Họ sẽ không biến mất đâu. Họ sẽ ở đây trong một thời gian dài."