'Đội quân' hacker khét tiếng của Triều Tiên đánh cắp tiền ảo để phát triển vũ khí hạt nhân

Các cuộc tấn công mạng vào các sàn giao dịch tiền điện tử là một nguồn thu quan trọng đối với Triều Tiên, theo một báo cáo bí mật của Liên Hợp Quốc, vốn vừa được hãng tin Reuters đăng tải hôm thứ Bảy.

Đây là một phần thông tin trong báo cáo được các nhà giám sát độc lập về việc thực thi các biện pháp trừng phạt Triều Tiên đệ trình lên Ủy ban trừng phạt Triều Tiên của Hội đồng Bảo an (HĐBA) LHQ vào ngày 4-2.

Theo báo cáo của Hội đồng Bảo an Liên hợp quốc, tiền điện tử bị đánh cắp được cho là sẽ được CHDCND Triều Tiên sử dụng để trốn tránh các lệnh trừng phạt kinh tế và giúp tài trợ cho các chương trình vũ khí hạt nhân và tên lửa đạn đạo. Theo đó, các tin tặc từ quốc gia này được cho là đã đánh cắp hơn 50 triệu USD từ năm 2020 đến giữa năm 2021, từ ít nhất ba sàn giao dịch tiền điện tử ở Bắc Mỹ, Châu Âu và Châu Á.

Lazarus - nhóm hacker khét tiếng của Triều Tiên, từng đánh sập máy chủ của Sony Pictures vào 2014, phát tán mã độc tống tiền WannaCry năm 2017 và thực hiện nhiều cuộc tấn công nhằm vào các tổ chức chính phủ, hệ thống quốc phòng trên toàn thế giới.

Các nhà giám sát cũng trích dẫn một báo cáo vào tháng trước của công ty an ninh mạng Chainalysis, cho biết Triều Tiên đã thực hiện ít nhất bảy cuộc tấn công vào các nền tảng tiền điện tử và đánh cắp gần 400 triệu USD tài sản kỹ thuật số trong năm 2021. Ở thời điểm hiện tại, các hacker Triều Tiên vẫn tiếp tục nhắm mục tiêu vào các tổ chức tài chính, công ty và sàn giao dịch tiền điện tử.

Hacker Triều Tiên dùng cách nào để đánh cắp tiền?

Triều Tiên đến nay vẫn là quốc gia có mạng Internet kém phổ biến nhất so với các quốc gia khác. Hai địa điểm duy nhất tại Triều Tiên có thể kết nối mạng với thế giới bên ngoài là từ phía bên bờ sông Áp Lục giáp với Trung Quốc, và ở khu vực gần với vùng Viễn Đông của Nga. Tuy nhiên, nước này lại sở hữu một đội ngũ hacker có năng lực xâm nhập, thao túng và phá huỷ đáng gờm. Đây được cho là kết quả của quá trình tuyển chọn và huấn luyện quy củ, nghiêm ngặt.

Các học sinh phổ thông có năng lực về toán, khoa học hoặc công nghệ thường được chọn để đi học ở những trường chuyên. Những học sinh này sau đó tiếp tục theo học tại các trường đại học ở Bình Nhưỡng, nơi hoàn thiện kiến thức và kỹ năng cho nhóm tin tặc. Vào tháng 11/2017, một số nhà quan sát phát hiện các chuyên gia người nước ngoài về tiền điện tử đã được Đại học Khoa học và Công nghệ Bình Nhưỡng mời đến giảng dạy về chủ đề này.

Sau khi tốt nghiệp, các sinh viên tiếp tục được đưa đến làm việc tại đơn vị chuyên các hoạt động trên mạng, được gọi là Cục 21 thuộc Tổng cục Tình báo Triều Tiên.

'Các đặc vụ Triều Tiên sử dụng bàn phím thay vì súng, đánh cắp ví tiền điện tử thay vì các bao tiền mặt. Họ là những tên cướp ngân hàng hàng đầu thế giới', ông John Demers, Trợ lý Bộ trưởng Tư pháp Mỹ nói.

Nhiều giảng viên của Đại học Khoa học và Công nghệ Bình Nhưỡng là người nước ngoài

Theo các chuyên gia bảo mật, các hacker Triều Tiên được cho là đã tạo ra các ứng dụng tiền ảo độc hại, mở cửa hậu (backdoor) vào máy tính của các nạn nhân, tự phát triển những công cụ đánh cắp riêng, đồng thời phát hiện các lỗ hổng trên mạng để cài cắm malware

Theo đó, các hacker Triều Tiên thường sử dụng một thủ đoạn khá quen thuộc, là gửi email chứa các mã độc được 'giấu kín' trong tệp tin đính kèm tới các doanh nghiệp, tập đoàn lớn trên thế giới. Chỉ cần bấm vào các tệp tin này, hacker đã có thể truy cập được toàn bộ file và email trên máy tính của nạn nhân.

Vào cuối 2018, các hacker dô Triều Tiên hậu thuẫn đã 'nhập vai' trở thành các khách hàng tiềm năng có nhu cầu mua tiền điện tử và gửi email đề nghị hợp tác tới một số sàn giao dịch. Bản thân các email này đều chứa mã độc bên trong, cho phép hacker có thể chiếm quyền truy cập máy chủ của các sàn giao dịch. Khi đã xâm nhập thành công, hacker Triều Tiên đã đánh cắp được một lượng lớn Bitcoin có giá trị tương đương 234 triệu USD, theo cáo trạng của chính phủ Mỹ.

Đây được coi ví dụ rõ nét nhất cho thấy phương thức tấn công kinh điển thường được các hacker Triều Tiên sử dụng. Cách chiến dịch tấn công mạng được thực hiện bởi nhóm hacker Lazarus tuy đơn giản về cách thức, nhưng kết quả thu về lại hiệu quả đến bất ngờ.

Để che dấu việc đánh cắp và chuyển tiền, các hacker Triều Tiên đã sử dụng một số 'chiêu trò' phức tạp, đơn cử như việc sử dụng các dịch vụ 'trộn' tiền điện tử, vốn có khả năng chuyển qua lại tới 5000 lần trong nỗ lực nhằm đánh lạc hướng các nhà điều tra.

Loại tiền điện tử bị các hacker Triều Tiên nhắm tới cũng đã có một sự thay đổi lớn, theo phân tích của Chainalysis. Vào năm 2017, Bitcoin (BTC) chiếm gần như tất cả số tiền điện tử bị Triều Tiên đánh cắp. Tuy nhiên, vào năm 2021, đồng Ethereum chiếm tới 58% tổng số tiền điện tử bị chiếm đoạt, trong khi Bitcoin chỉ chiếm 20%.

Tổng hợp