Hacker Triều Tiên ăn cắp 2 tỷ USD thế nào

aA

Cuối 2019, một tin nhắn có vẻ vô hại từ LinkedIn được gửi tới nhân viên các công ty quân đội và hàng không vũ trụ ở châu Âu và Trung Đông.

"Chúng tôi chào đón những tài năng như bạn và mong muốn bạn sẽ làm việc cho công ty chúng tôi", tin nhắn dường như được gửi từ một nhà tuyển dụng cho một công ty đối thủ. Nếu trả lời, các kỹ sư sẽ nhận được tin nhắn tiếp theo kèm file mô tả công việc.

Tệp tin chứa danh sách các vị trí và mức lương hào phóng tương ứng. Khi người nhận đọc thông tin, máy tính của họ âm thầm bị kiểm soát từ xa. Mã độc ẩn trong tệp tin giúp kẻ tấn công đọc được toàn bộ file và email trên máy.

Danh sách công việc hấp dẫn kia không có thật. Nhà tuyển dụng cũng vậy.

Thay vào đó, hãng bảo mật F-Secure và ESET phát hiện ra tin nhắn được gửi từ Lazarus - nhóm hacker khét tiếng của Triều Tiên. Lazarus bị cáo buộc đứng sau hàng loạt chiến dịch tấn công mạng từ năm 2009. Trong đó, ba vụ nổi tiếng nhất là làm tê liệt mạng lưới của Sony Pictures trong nhiều tuần năm 2014, đánh cắp 81 triệu USD từ ngân hàng trung ương Bangladesh năm 2016 và được cho là kẻ phát tán mã độc tống tiền WannaCry năm 2017.

Ngay khi hacker chiếm được quyền điều khiển máy tính, tài khoản LinkedIn giả mạo cũng biến mất. Sau đó, chúng sử dụng hòm thư của nạn nhân để tìm kiếm hóa đơn, các khoản giao dịch... cũng như gửi email tới các đơn vị thanh toán, đề nghị chuyển tiền tới một tài khoản ngân hàng mới (được kiểm soát bởi Lazarus).

hacker trieu tien an cap 2 ty usd the nao

Tin tặc Triều Tiên kiếm được hàng tỷ USD. Ảnh: ZDNet.

Theo Telegraph, trường hợp trên chỉ là một ví dụ cho thấy kiểu tấn công điển hình của tin tặc Triều Tiên. Các chiến dịch nhìn chung đơn giản về bản chất, nhưng đòi hỏi các kỹ năng và kỹ thuật tiên tiến để thực hiện.

Trong báo cáo năm 2019, Liên Hiệp Quốc ước tính Triều Tiên kiếm được hai tỷ USD bằng cách huy động các nhóm tin tặc tấn công vào các tổ chức tài chính ở nước ngoài và trao đổi tiền điện tử. Số tiền này nhiều khả năng được sử dụng để phục vụ cho các chương trình phát triển vũ khí hạt nhân.

Những năm gần đây, Triều Tiên còn để mắt tới tiền điện tử. Công ty Kaspersky cho biết Lazarus đã thực hiện 5 trong số 14 cuộc tấn công vào các sàn giao dịch tiền điện tử từ tháng 2/2017 đến tháng 9/2018 và thu về hơn 571 triệu USD.

Các cuộc tấn công mạng có nguồn gốc từ Triều Tiên không hề giảm xuống trong giai đoạn bùng phát Covid-19. Theo công ty bảo mật SanSec (Hà Lan), hàng loạt cửa hàng trực tuyến nằm trong tầm ngắm của hacker từ tháng 5/2020, trong đó nạn nhân nổi tiếng nhất là chuỗi cửa hàng phụ kiện Claire's.

Hacker đánh lừa nạn nhân, chủ yếu là nhân viên bán lẻ, tải tiện ích bên thứ ba, hoặc dụ dỗ bấm vào liên kết chứa mã độc. Sau khi xâm nhập vào hệ thống, phần mềm độc hại nhằm tới trang thanh toán của website thương mại điện tử, âm thầm ghi lại chi tiết các thẻ thanh toán và gửi tới một máy chủ từ xa.

SanSec nhận thấy nhiều liên kết tên miền và địa chỉ IP trong cuộc tấn công trên từng được các nhóm tin tặc có liên quan đến nhà nước Triều Tiên, như Lazarus Group, sử dụng trong quá khứ.

"Trong khi đa số các hacker được chính phủ hậu thuẫn chỉ tham gia hoạt động gián điệp mạng, hacker Triều Tiên còn được giao nhiệm vụ làm tê liệt nền kinh tế, đánh cắp tiền bạc của các quốc gia khác", trang ZDNet nhận xét.