Ăn cắp công nghệ quốc phòng, tiền điện tử
Ngày 6-12-2023, hãng Reuters đưa tin cảnh sát Hàn Quốc đang điều tra một nhóm hacker Triều Tiên có ý định lấy cắp thông tin về công nghệ phòng thủ bao gồm tia laser phòng không. Cuộc điều tra thực hiện cùng với Cục Điều tra Liên bang Mỹ (FBI), nhằm xác định mức độ dữ liệu thu được từ nhóm có tên Andariel.
Một tuyên bố trước đó của cảnh sát Hàn Quốc cho biết Andariel nhắm mục tiêu bao gồm các công ty quốc phòng, viện nghiên cứu và công ty dược phẩm của Hàn Quốc. Khoảng 250 tập tin, tương đương 1,2 terabyte thông tin và dữ liệu, đã bị tin tặc lấy đi.
Cảnh sát cho biết, một máy chủ proxy do nhóm này thiết lập đã bị truy cập 83 lần tại một quận của thủ đô Bình Nhưỡng trong khoảng thời gian từ tháng 12-2022 đến tháng 3-2023. Nhóm này cũng đã tống tiền số bitcoin trị giá 470 triệu won (357.866 USD) từ 3 công ty Hàn Quốc và nước ngoài trong các cuộc tấn công bằng ransomware (dùng phần mềm độc hại để đòi tiền chuộc dữ liệu).
Tháng 10-2023 Cơ quan Tình báo Quốc gia Hàn Quốc cho biết tin tặc Triều Tiên đang nhắm mục tiêu vào ngành đóng tàu của Hàn Quốc nhằm đánh cắp dữ liệu kỹ thuật. Trước đó, tháng 8-2023 tin tặc Triều Tiên đã xâm nhập cơ sở hạ tầng công nghệ thông tin nội bộ của công ty kỹ thuật tên lửa NPO Mashinostroyeniya của Nga…
Báo cáo công bố ngày 1-12-2023 của công ty an ninh mạng Recorded Future tiết lộ, trong 6 năm qua nhóm haker của Triều Tiên có tên Lazarus đã đánh cắp 3 tỷ USD tiền điện tử. Riêng trong năm 2022 Lazarus đã cướp được 1,7 tỷ USD tiền điện tử, trong đó có 1,1 tỷ USD đánh cắp từ các nền tảng tài chính phi tập trung (DeFi).
Trong 14 năm qua các nhóm hacker Triều Tiên đã tiến hành các cuộc tấn công mạng tại ít nhất 29 quốc gia, với mục đích đánh cắp thông tin, công nghệ mới và tiền điện tử.
Một báo cáo tháng 9-2023 của Bộ An ninh Nội địa Mỹ (DHS) cũng cho biết, năm 2016 Lazarus đã tấn công Ngân hàng Trung ương Bangladesh, đánh cắp 81 triệu USD.
Năm 2018, họ tấn công sàn giao dịch tiền điện tử Coincheck của Nhật Bản lấy 530 triệu USD, và tấn công Ngân hàng Trung ương Malaysia lấy 390 triệu USD. Vào tháng 9-2023, nhóm Lazarus còn tấn công một công ty hàng không vũ trụ ở Tây Ban Nha.
Chưa hết, trong tháng 10-2023 hai nhóm hacker Triều Tiên là Diamond Sleet và Onyx Sleet đã khai thác lỗ hổng thực thi mã từ xa ảnh hưởng đến nhiều phiên bản của máy chủ JetBrains TeamCity, xâm phạm các máy chủ dễ bị tổn thương trong khi cũng triển khai phần mềm độc hại và các công cụ cũng như sử dụng các kỹ thuật có thể cho phép truy cập liên tục vào máy nạn nhân.
Cũng trong tháng này, Chính phủ Mỹ thu giữ 17 miền trang web được nhân viên công nghệ thông tin Triều Tiên sử dụng để lừa gạt các doanh nghiệp Mỹ và nước ngoài, trốn tránh các lệnh trừng phạt và tài trợ cho việc phát triển chương trình vũ khí của chính phủ.
“Tay nghề” ngày càng cao
Các nhà nghiên cứu tại Mandiant cho biết các nhóm hacker của Triều Tiên tương đối nhỏ, nhưng rất giỏi và đa năng. Dick O'Brien, Nhà phân tích tình báo chính tại Symantec, nói: “Tôi đánh giá một số người (haker) rất có năng lực. Có một nhóm chúng tôi gọi là Stonefly và mọi cuộc tấn công họ tham gia đều khá chọn lọc và thường nhắm tới một số tài sản trí tuệ có giá trị cao.
Họ rất giỏi trong việc dàn dựng các cuộc xâm nhập các tổ chức có nguồn lực và hệ thống bảo mật tốt”. Trong khi đó, Tom Hegel, nhà nghiên cứu các mối đe dọa mạng tại Sentinel One, cho rằng rất nhiều sự đổi mới đang đến từ một nhóm tin tặc sáng tạo, trẻ tuổi, hiểu biết về mặt kỹ thuật.
Về khả năng hack, các chuyên gia đánh giá Triều Tiên đứng thứ ba thế giới, chỉ sau Mỹ và Nga. Người ta cho rằng các nhóm hacker Triều Tiên đã tiến hành các cuộc tấn công mạng tại ít nhất 29 quốc gia trong 14 năm qua.
Ngoài số lượng lớn các cuộc tấn công, các kế hoạch hack của Triều Tiên còn phổ biến, bất kể khu vực nào, chẳng hạn như tàu điện ngầm, hàng không vũ trụ, năng lượng hạt nhân và các ngành liên quan đến sinh học. Mục đích là để đánh cắp thông tin và gây rối loạn xã hội.
Tin tặc Triều Tiên thực hiện các hoạt động hack nhắm vào các cá nhân hoặc tổ chức cụ thể trong khoảng thời gian nhất định. Khi nhiệm vụ kết thúc, họ được điều động đến các đội khác để thực hiện các hoạt động mới.
Họ thiết lập các căn cứ hoạt động mạng dưới vỏ bọc công ty thương mại tại các thành phố của Trung Quốc như Thẩm Dương, Quảng Châu và Đại Liên, cũng như ở Mông Cổ và Indonesia.
Thông qua các nỗ lực hack, nhóm hacker Kimsuky của Triều Tiên đã xâm nhập 326 máy chủ ở 26 quốc gia để rửa Giao thức Internet (IP). Họ sử dụng các địa chỉ IP đã được rửa để gửi email lừa đảo ngụy trang dưới dạng email của các văn phòng lập pháp, cơ quan chính phủ hoặc phóng viên. Các email có đính kèm các chương trình độc hại, hoặc hướng người đọc đến trang web lừa đảo. Khi độc giả nhấp vào chương trình hoặc liên kết, họ sẽ bị hack.
Được đào tạo bài bản
Người ta nói rằng Triều Tiên bắt đầu tăng cường lực lượng mạng vào giữa những năm 1980. Nước này thành lập Trường Cao đẳng Mirim vào năm 1986 để đào tạo các chuyên gia hoạt động mạng. Những năm 1990, Bình Nhưỡng bắt đầu dạy công nghệ thông tin cho trẻ em có năng khiếu, cải thiện điều kiện tăng cường lực lượng mạng.
Hacker được đào tạo từ rất sớm. Các thần đồng khoa học được học tại Trường Trung học Phổ thông Số 1 Bình Nhưỡng hoặc Trường Kumsong. Sau đó, họ được nuôi dưỡng thành những chiến binh mạng tại Cao đẳng Mirim, Đại học Kim Il-sung hoặc Đại học Công nghệ Kim Chaek.
Sinh viên Triều Tiên được đào tạo thành chiến binh mạng thường tham gia các sự kiện quốc tế. Năm 2023, sinh viên đại học Triều Tiên đã chiếm 4 vị trí cao nhất trong cuộc thi hack do HackerEarth, một công ty có trụ sở tại San Francisco, Mỹ, tổ chức.
Tại cuộc thi, sinh viên từ Đại học Công nghệ Kim Chaek đứng thứ nhất, thứ ba và thứ tư, trong khi sinh viên từ Đại học Kim Il-sung chiếm vị trí thứ hai. Đại học Công nghệ Kim Chaek cho biết trên trang web của mình rằng sinh viên của họ đã giành chiến thắng trong cuộc thi với số điểm tuyệt đối là 800. Cuộc thi hack năm 2023 có khoảng 1.700 người tham gia.
