Khi ông Daniel DePetris, một nhà phân tích các vấn đề đối ngoại ở Hoa Kỳ, nhận được một email vào tháng 10 từ giám đốc của tổ chức tư vấn 38 North đặt hàng ông thực hiện một bài báo, mọi việc dường như vẫn diễn ra như bình thường.
Tuy nhiên, không phải vậy. Theo ý kiến của những người có liên quan và ba nhà nghiên cứu an ninh mạng, người gửi thực sự bị tình nghi là gián điệp Triều Tiên.
Thay vì xâm nhập máy tính của ông DePetris và đánh cắp các dữ liệu nhạy cảm như các tin tặc thường làm, người gửi dường như cố gắng có được ý kiến của ông ấy về các vấn đề an ninh của Triều Tiên bằng cách giả mạo giám đốc Jenny Town của chương trình 38 North.
Đề cập đến giám đốc Town, ông DePetris lưu ý Reuters: “Tôi nhận ra điều đó không hợp pháp khi tôi liên lạc với người này [giám đốc Town của 38 North] để đặt các câu hỏi tiếp theo và do đó đã phát hiện ra rằng, trên thực tế, không có yêu cầu nào được đưa ra và người này [cô Town] cũng là một mục tiêu. Vì vậy, tôi nhanh chóng nhận ra đây là một chiến dịch quy mô lớn.”
Reuters đang xem xét các email và năm cá nhân bị nhắm mục tiêu. Theo các chuyên gia an ninh mạng, email này là một phần trong chiến dịch mới chưa được báo cáo trước đây do một nhóm tin tặc bị tình nghi là của Triều Tiên thực hiện.
Các chuyên gia an ninh mạng nghi ngờ các tin tặc đang nhắm mục tiêu vào những người có ảnh hưởng trong các chính phủ nước ngoài để hiểu rõ hơn về chính sách của phương Tây đối với Triều Tiên.
Nhóm tin tặc này, được các nhà nghiên cứu đặt tên là Thallium hoặc Kimsuky, hoặc các tên khác, từ lâu đã sử dụng các emails “lừa đảo qua mạng” để lừa các mục tiêu từ bỏ mật khẩu hoặc nhấp vào các tệp đính kèm hoặc các đường liên kết tải phần mềm độc hại. Tuy nhiên, giờ đây, họ cũng xuất hiện để yêu cầu các nhà nghiên cứu hoặc các chuyên gia khác đưa ra ý kiến hoặc viết báo cáo về vấn đề cụ thể nào đó.
Theo các email được Reuters xem xét, trong số các vấn đề khác được nêu ra là phản ứng của Trung Quốc trong trường hợp Triều Tiên tiến hành một vụ thử hạt nhân mới, và liệu có thể đảm bảo một cách tiếp cận “nhẹ nhàng hơn” của quốc tế đối với “sự gây hấn” của Triều Tiên.
Ông James Elliott của Trung tâm tình báo mối đe dọa Microsoft (MSTIC) nhận định: “Những kẻ tấn công đang gặt hái được rất nhiều thành công với phương pháp rất, rất đơn giản này. Những kẻ tấn công đã thay đổi hoàn toàn quy trình.”
MSTIC cho biết, họ đã xác định được “nhiều” chuyên gia Triều Tiên đã cung cấp thông tin cho tài khoản của nhóm tấn công Thallium.
Một báo cáo năm 2020 của các cơ quan an ninh mạng thuộc chính phủ Hoa Kỳ cho hay, Thallium đã và đang hoạt động kể từ năm 2012 và “rất có thể được chính quyền Triều Tiên giao nhiệm vụ thu thập thông tin tình báo toàn cầu.”
Theo MSTIC, Thallium trước đây đã nhắm mục tiêu vào các nhân viên chính phủ, các tổ chức tư vấn, các học viện, và các tổ chức nhân quyền.
Ông Elliott nhấn mạnh: “Nếu bạn muốn, những kẻ tấn công sẽ lấy thông tin trực tiếp từ nguồn tin đáng tin cậy, và họ không phải ngồi ở đó để làm các diễn giải bởi vì họ lấy thông tin trực tiếp từ chuyên gia.”
Chiến thuật mới
Các tin tặc Triều Tiên nổi tiếng với các cuộc tấn công thu về hàng triệu đô la. Họ đã nhắm mục tiêu vào hãng phim Sony Pictures của Mỹ vì đã sản xuất bộ phim bị coi là xúc phạm lãnh đạo của họ, cũng như đánh cắp dữ liệu của các công ty quốc phòng và dược phẩm, các chính phủ nước ngoài, và các tổ chức khác.
Đại sứ quán Triều Tiên tại London không trả lời yêu cầu bình luận, nhưng họ phủ nhận có liên quan đến tội phạm mạng.
Theo ông Saher Naumaan, nhà phân tích tình báo mối đe dọa chính của tổ chức BAE Systems Applied Intelligence, trong các cuộc tấn công khác, Thallium và các tin tặc khác đã dành hàng tuần hoặc hàng tháng để tạo niềm tin với mục tiêu trước khi gửi phần mềm độc hại.
Tuy nhiên, theo MSTIC, hiện giờ, trong một số trường hợp, Thallium cũng nhắm mục tiêu vào các chuyên gia nhưng không bao giờ gửi các tệp tin hay các liên kết độc hại ngay cả sau khi nạn nhân trả lời.
Theo ông Elliott, chiến thuật này có thể nhanh hơn so với việc xâm nhập tài khoản của mục tiêu và đọc hết các email của họ, đồng thời tránh được các chương trình bảo mật kỹ thuật truyền thống sẽ quét và gắn cờ một thư có yếu tố độc hại. Nó cũng cho phép gián điệp truy cập trực tiếp để lấy được ý kiến của chuyên gia.
Ông cảnh báo: “Đối với chúng tôi là những người bảo vệ [an ninh mạng], thật sự rất khó để ngăn chặn những email này.” Đồng thời ông cho biết, trong hầu hết các trường hợp, điều quan trọng nhất là người nhận có thể phát hiện ra điều đó hay không.
Giám đốc Town của chương trình 38 North tiết lộ, một số email có vẻ như là của cô đã sử dụng địa chỉ email có đuôi là “.live” thay vì tài khoản chính thức của cô có đuôi là “.org”, nhưng đã sao chép dòng chữ ký đầy đủ của cô.
Cô Town cho hay, trong một trường hợp, cô đã tham gia vào một cuộc trao đổi email kỳ dị, trong đó kẻ tấn công bị tình nghi, đóng giả cô, đã đưa tên cô vào một thư trả lời.
Ông DePetris, giảng viên của tổ chức Ưu tiên Quốc phòng và là người viết chuyên mục cho một số tờ báo, cho biết các email mà ông nhận được được viết như thể một nhà nghiên cứu đang yêu cầu nộp báo cáo hoặc nhận xét về một bản thảo.
Ông lưu ý: “Chúng [các email] khá phức tạp với logo của tổ chức tư vấn được gắn vào thư từ để làm cho nó trông giống như cuộc điều tra hợp pháp.”
Ông DePetris kể lại, khoảng ba tuần sau khi nhận được email giả mạo chương trình 38 North, một tin tặc khác đã mạo danh ông, gửi email cho những người khác yêu cầu họ nghiên cứu bản thảo.
Email đó, mà ông DePetris đã chia sẻ với Reuters, đề xuất trả 300 đô la cho việc xem xét một bản thảo về chương trình hạt nhân của Triều Tiên và yêu cầu giới thiệu cho những người có thể đánh giá khác. Ông Elliot lưu ý, các tin tặc chưa bao giờ thanh toán cho bất kỳ ai về nghiên cứu hoặc trả lời của họ, và họ sẽ không bao giờ có ý định làm điều đó.
Thu thập thông tin
Khi thảo luận các vấn đề tình báo với Reuters, một nguồn tin an ninh ở Seoul yêu cầu giấu tên nhận xét, mạo danh là một phương pháp phổ biến của điệp viên trên khắp thế giới, nhưng khi Triều Tiên ngày càng bị cô lập sâu sắc dưới các lệnh trừng phạt của quốc tế và đại dịch, các cơ quan tình báo phương Tây tin rằng Bình Nhưỡng đã trở nên phụ thuộc đặc biệt vào các chiến dịch mạng.
Trong một báo cáo hồi tháng 3/2022, một nhóm các chuyên gia điều tra việc Triều Tiên né tránh các lệnh trừng phạt của LHQ đã liệt kê các nỗ lực của Thallium như là các hoạt động “cấu thành hoạt động gián điệp nhằm mục đích thông tin và hỗ trợ” cho quốc gia cộng sản này né tránh các lệnh trừng phạt.
Theo cô Town, trong một số trường hợp, những kẻ tấn công đã đặt hàng viết bài nghiên cứu, và các nhà phân tích đã cung cấp các báo cáo đầy đủ hoặc các đánh giá bản thảo trước khi nhận ra được điều gì đã xảy ra.
Ông DePetris tiết lộ, các tin tặc đã hỏi ông về các vấn đề mà ông đang nghiên cứu, bao gồm cả phản ứng của Nhật Bản đối với các hoạt động quân sự của Triều Tiên.
Một email khác, tự xưng là một phóng viên của tờ Kyodo News của Nhật Bản, đã hỏi một nhân viên của chương trình 38 North rằng họ nghĩ cuộc chiến ở Ukraine đã ảnh hưởng đến quan điểm của Triều Tiên như thế nào và đặt câu hỏi về chính sách của Hoa Kỳ, Trung Quốc và Nga.
Nhà phân tích DePetris kết luận: “Người ta chỉ có thể phỏng đoán rằng Triều Tiên đang cố gắng có được ý kiến bộc trực của các chuyên gia tư vấn để hiểu rõ hơn về chính sách của Hoa Kỳ đối với Triều Tiên và điều đó có thể đi đến đâu.”
Gia Huy (Theo Reuters)