Đội quân tin tặc Triều Tiên đã đánh cắp 3 tỷ đô la tiền điện tử để chi cho chương trình hạt nhân như thế nào

Wall Street Journal

Cù Tuấn, biên dịch

17-6-2023

Các cáo buộc ở Los Angeles của Mỹ đối với một công dân Bắc Triều Tiên trong một loạt các cuộc tấn công mạng cách đây vài năm. Ảnh trên mạng

Tóm tắt: Chế độ Triền Tiên đã đào tạo tội phạm mạng để mạo danh nhân viên công nghệ hoặc người sử dụng lao động và các âm mưu khác.

Năm ngoái, một kỹ sư làm việc cho công ty trò chơi blockchain Sky Mavis nghĩ rằng anh ấy sắp có một công việc mới và được trả nhiều tiền hơn.

Một nhà tuyển dụng đã liên hệ với anh ấy qua LinkedIn và sau khi hai người nói chuyện qua điện thoại, nhà tuyển dụng đã gửi cho kỹ sư này một tài liệu để xem xét như một phần của quá trình phỏng vấn.

Nhưng người tuyển dụng này là một phần của một hoạt động rộng lớn của Bắc Triều Tiên nhằm mang lại đô la cho một chế độ độc tài nghèo tiền mặt. Và tài liệu họ gửi là một con ngựa thành Troia, một mã máy tính độc hại cho phép tin tặc Triều Tiên truy cập vào máy tính của kỹ sư này và cho phép tin tặc đột nhập vào công ty Sky Mavis. Cuối cùng, họ đã đánh cắp thành công hơn 600 triệu đô la Mỹ—hầu hết từ những người chơi trò chơi thú cưng kỹ thuật số Axie Infinity của Sky Mavis.

Theo công ty phân tích chuỗi khối Chainalysis, đây là vụ trộm cắp kỹ thuật số lớn nhất của Triều Tiên trong 5 năm qua. Các vụ trộm cắp này đã thu về hơn 3 tỷ đô la cho người Triều Tiên. Các quan chức Mỹ cho biết số tiền đó đang được sử dụng để tài trợ cho khoảng 50% chương trình tên lửa đạn đạo của Triều Tiên, được phát triển song song với vũ khí hạt nhân. Chi phí quốc phòng chiếm một phần rất lớn trong tổng chi tiêu của Triều Tiên; Bộ Ngoại giao Mỹ ước tính vào năm 2019, Bình Nhưỡng đã chi khoảng 4 tỷ đô la Mỹ cho quốc phòng, chiếm 26% tổng nền kinh tế của nước này.

Aleksander Larsen, giám đốc điều hành của công ty cho biết, mặc dù Sky Mavis hiện đã hoàn trả tiền cho các nạn nhân của cuộc tấn công mạng trên, nhưng vụ việc này đã đe dọa đến sự tồn tại của công ty khi đó mới chỉ 4 năm tuổi. “Khi bạn nhìn vào số tiền bị đánh cắp, [nó] sẽ giống như một mối đe dọa mang tính sinh tồn đối với những gì bạn đang dày công xây dựng”.

Vụ việc cũng thu hút sự chú ý của Nhà Trắng, nơi nó và các cuộc tấn công tiền điện tử khác của Triều Tiên trong suốt năm 2022 đã gây ra những lo ngại nghiêm trọng. Anne Neuberger, phó cố vấn an ninh quốc gia của Tổng thống Biden về công nghệ mạng và mới nổi cho biết: “Sự gia tăng thực sự trong năm ngoái đã chống lại hệ thống cơ sở hạ tầng tiền điện tử tập trung trên toàn thế giới, mà lưu giữ số lượng tiền lớn như Sky Mavis, đã dẫn đến nhiều vụ trộm quy mô lớn hơn. Điều đó đã thúc đẩy chúng tôi tập trung cao độ vào việc chống lại các hoạt động này”.

Những kẻ trộm kỹ thuật số của Triều Tiên bắt đầu thực hiện các cuộc tấn công tiền điện tử lớn đầu tiên của chúng vào khoảng năm 2018. Kể từ đó, các nỗ lực và thành công phóng tên lửa của Triều Tiên đã tăng lên như nấm, với hơn 42 vụ thành công được ghi nhận vào năm 2022, theo dữ liệu được theo dõi bởi Trung tâm nghiên cứu không phổ biến vũ khí hạt nhân James Martin.

Các quan chức Mỹ cảnh báo rằng còn rất nhiều điều chưa biết về các nguồn tiền của Triều Tiên trong bối cảnh các lệnh trừng phạt của phương Tây. Họ không thể hiểu chính xác về vai trò của hành vi trộm cắp tiền điện tử trong tỷ lệ thử nghiệm tên lửa ngày càng tăng. Nhưng mức độ tăng dần của các thử nghiệm hạt nhân của chế độ hầu như ít ai biết tới của Kim Jong Un đã xảy ra cùng lúc với sự gia tăng đáng lo ngại của các vụ trộm tiền điện tử.

Neuberger cho biết, khoảng 50% nguồn vốn ngoại tệ của Triều Tiên để mua các bộ phận từ nước ngoài cho chương trình tên lửa đạn đạo của nước này hiện được chi trả nhờ các hoạt động trên mạng của chế độ. Đó là một sự gia tăng mạnh so với các ước tính trước đó, đưa con số này lên một phần ba tổng kinh phí cho các chương trình.

Các quan chức Mỹ cho biết Triều Tiên đã xây dựng một lực lượng lao động ngầm gồm hàng nghìn công nhân CNTT hoạt động ở các quốc gia trên thế giới, bao gồm cả Nga và Trung Quốc. Những người này kiếm được tiền—đôi khi hơn 300.000 đô la một năm—tron các công việc công nghệ thông thường. Nhưng lực lượng lao động này thường được liên kết với các hoạt động tội phạm mạng của Triều Tiên, theo các nhà điều tra.

Tin tặc Triều Tiên đã giả làm công nhân CNTT Canada, quan chức chính phủ và nhà phát triển blockchain tự do của Nhật Bản. Họ thực hiện các cuộc phỏng vấn qua video để kiếm việc làm, hoặc, như ví dụ về Sky Mavis, bằng cách giả làm nhà tuyển dụng tiềm năng.

Để được các công ty tiền điện tử tuyển dụng, họ sẽ thuê “những người bình phong” phương Tây — về cơ bản là những diễn viên ngồi trong các cuộc phỏng vấn xin việc để che giấu sự thật rằng người Bắc Triều Tiên mới là những người thực sự được thuê làm. Sau khi được thuê, đôi khi họ sẽ thực hiện những thay đổi nhỏ đối với các sản phẩm họ làm, cho phép họ có thể tấn công vào hệ thống, theo các nạn nhân cũ và các nhà điều tra.

Bắt đầu từ hai năm trước, các tin tặc có liên quan đến Triều Tiên đã bắt đầu lây nhiễm các mã độc tống tiền vào các bệnh viện của Mỹ — một loại tấn công mạng trong đó tin tặc khóa các file của công ty nạn nhân và yêu cầu phải trả tiền thì mới giải mã chúng — nhằm mục đích gây quỹ, các quan chức Mỹ cho biết.

Nick Carlsen, cựu phân tích viên của FBI, làm việc cho công ty truy tìm blockchain TRM Labs, cho biết: “Có vẻ như đó là một quốc gia cướp biển thời hiện đại. Họ tập trung càn quét các công ty bên ngoài”.

Carlsen và những người khác trong ngành công nghiệp tiền điện tử nói rằng việc loại bỏ những nhân viên CNTT giả mạo này là một vấn đề thường xuyên.

Các chuyên gia quốc tế từ lâu đã nói rằng Triều Tiên đã phát triển một đội quân cướp ngân hàng kỹ thuật số để trốn tránh các lệnh trừng phạt khắc nghiệt và hỗ trợ tham vọng thể hiện sức mạnh địa chính trị thông qua vũ khí hạt nhân và tên lửa đạn đạo. Một báo cáo của Liên Hợp Quốc năm 2020 cho thấy hoạt động hack tạo doanh thu của chế độ này đã được chứng minh là “có rủi ro thấp, có phần thưởng cao và rất khó phát hiện, đồng thời mức độ tinh vi ngày càng tăng của chúng có thể cản trở việc quy kết trách nhiệm”.

Trong nhiều năm, Mỹ và các chính phủ phương Tây khác đã đổ lỗi cho Triều Tiên về một loạt vụ tấn công mạng trắng trợn—và đôi khi được thực hiện một cách bừa bãi—từ vụ tấn công Sony Pictures năm 2014 cho đến vụ tấn công ransomware quy mô lớn toàn cầu vào năm 2017. Tuy nhiên, quốc gia này ngày càng tìm cách tập trung vào Theo các quan chức và chuyên gia an ninh Mỹ, các cuộc tấn công mạng nhằm tạo ra lượng tiền mặt, đồng thời cải thiện đáng kể mức độ tinh vi kỹ thuật của nó để thực hiện các vụ trộm quy mô lớn.

Neuberger của Nhà Trắng cho biết: “Hầu hết các chương trình mạng của các quốc gia đều tập trung vào khả năng gián điệp hoặc tấn công vì các mục đích địa chính trị truyền thống. Người Triều Tiên tập trung vào hành vi trộm cắp, lấy tiền tệ mạnh để vượt qua sự nghiêm ngặt của các lệnh trừng phạt quốc tế”.

Vào năm 2016, các tin tặc có liên quan đến Triều Tiên đã đánh cắp 81 triệu đô la từ ngân hàng trung ương Bangladesh, đây là một phần trong âm mưu đánh cắp mạng trị giá 1 tỷ đô la đã bị Ngân hàng Dự trữ Liên bang New York phá vỡ.

Người Triều Tiên cũng đã đánh cắp tiền từ các máy ATM và thậm chí kiếm được hơn 100.000 đô la tiền điện tử từ một loại sâu đang lây lan nhanh chóng có tên là WannaCry, nhưng không có gì sinh lợi bằng chuỗi vụ trộm tiền điện tử của họ, bắt đầu một cách nghiêm túc vào năm 2018, theo Erin Plante, phó chủ tịch điều tra của Chainalysis. “Họ đã thực sự sớm tham gia vào tiền điện tử và họ là một trong những người dùng tiền điện tử tiên tiến nhất từ ​​rất sớm”.

Đồng thời, Bình Nhưỡng đã thể hiện sự táo bạo hơn với kỹ thuật lừa đảo qua liên kết xã hội, tin tặc của họ ngày càng tinh vi hơn về mặt kỹ thuật lừa đảo. Kỹ năng của tội phạm mạng Triều Tiên trong năm qua đã gây ấn tượng với các quan chức và nhà nghiên cứu Mỹ, và một số người cho biết họ đã chứng kiến ​​tin tặc của nước này thực hiện các thao tác phức tạp chưa từng thấy ở bất kỳ nơi nào khác.

Trong một cuộc tấn công đáng chú ý vào đầu năm nay, các tin tặc có liên quan đến Triều Tiên đã thực hiện điều mà các nhà nghiên cứu bảo mật cho là một cuộc tấn công chuỗi cung ứng theo tầng đầu tiên thuộc loại này. Họ đột nhập vào từng nhà sản xuất phần mềm và làm hỏng sản phẩm của họ để giành quyền truy cập vào hệ thống máy tính của khách hàng.

Để dàn dựng cuộc tấn công, trước tiên họ đã thỏa hiệp với một nhà sản xuất phần mềm giao dịch trực tuyến có tên là Trading Technologies. Một phiên bản bị hỏng của sản phẩm của công ty đó sau đó đã được một nhân viên của 3CX, công ty phát triển phần mềm, tải xuống và sau đó sử dụng quyền truy cập vào hệ thống 3CX để làm hỏng phần mềm của công ty đó.

Theo các nhà điều tra, từ đó, Triều Tiên đã cố gắng đột nhập vào các khách hàng của 3CX, bao gồm cả các sàn giao dịch tiền điện tử.

Trading Technologies cho biết họ đã thuê một công ty pháp y để điều tra vụ việc, nhưng họ đã ngừng hoạt động phần mềm được đề cập vào tháng 4 năm 2020, khoảng hai năm trước khi công ty 3CX bị xâm phạm.

3CX cho biết họ đã tăng cường các biện pháp bảo mật kể từ vụ hack này. Giám đốc điều hành Nick Galea cho biết công ty không biết có bao nhiêu khách hàng cuối cùng bị ảnh hưởng nhưng nghi ngờ rằng đó là một con số nhỏ vì vụ xâm nhập đã được phát hiện nhanh chóng.

“Chúng tôi đang phải chạy đua vũ trang với những tin tặc này”, Larsen của Sky Mavis nói.

Related posts