Google Threat Intelligence Group (GTIG) tiết lộ rằng hoạt động kỹ sư CNTT giả mạo của Triều Tiên vẫn tiếp tục mở rộng và phạm vi xâm nhập đã lan rộng từ Hoa Kỳ sang Vương quốc Anh và nhiều nước châu Âu. Chúng cải trang thành những kỹ sư từ xa thông thường, lẻn vào hệ thống công ty, tham gia vào các dự án công nghệ cao và đánh cắp dữ liệu, gây ra mối đe dọa lớn đối với an ninh thông tin toàn cầu và bí mật của công ty.
Mục lục
ToggleTừ Hoa Kỳ đến Châu Âu: Các dự án Blockchain và AI trở thành ưu tiên hàng đầu của Triều Tiên
Kể từ nửa cuối năm 2024, GTIG nhận thấy nhân sự CNTT của Triều Tiên đã đẩy nhanh đáng kể quá trình thâm nhập thị trường châu Âu, đặc biệt tập trung vào Vương quốc Anh, Đức, Bồ Đào Nha và Trung và Đông Âu. Họ nộp đơn xin việc vào các công ty bằng cách ngụy tạo quốc tịch, trình độ học vấn và nơi cư trú. Thậm chí có người còn sử dụng 12 danh tính giả cùng lúc để vào ngành công nghiệp quốc phòng và các dự án của chính phủ.
Sơ yếu lý lịch thường bao gồm bằng cấp từ một trường đại học Serbia, địa chỉ ở Slovakia và hướng dẫn sử dụng các trang web tìm kiếm việc làm ở châu Âu.
Vạch trần mạng lưới danh tính ngụy tạo toàn cầu đằng sau các nhà phát triển giả mạo
GTIG lo ngại rằng các kỹ sư Triều Tiên này không làm việc một mình, và có thể có một hệ thống hỗ trợ xuyên quốc gia đằng sau họ để giúp ngụy tạo danh tính, vượt qua kiểm toán và chuyển tiền.
Báo cáo tiết lộ rằng một máy tính xách tay của công ty được cho là sẽ được sử dụng ở New York đã được phát hiện đang được kích hoạt ở London, cho thấy hoạt động ngụy trang này trải dài khắp châu Âu và Hoa Kỳ. Cuộc điều tra cũng phát hiện ra rằng máy tính xách tay được sử dụng để cung cấp hộ chiếu giả, hướng dẫn về chiến lược xin việc và thậm chí liệt kê múi giờ mà các quốc gia khác nhau nên sử dụng để tăng cường khả năng ngụy trang danh tính.
Gần đây, các chuyên gia bảo mật Chuỗi cũng đã phát hiện ra một phương pháp gian lận mới. Các tin tặc Triều Tiên giả danh là chuyên gia đầu tư mạo hiểm (VC) và sử dụng các sự cố âm thanh phổ biến trong các cuộc họp Zoom để lừa nạn nhân tải xuống các tệp sửa chữa âm thanh có chứa chương trình độc hại, có thể dẫn đến việc đánh cắp tiền cá nhân hoặc dữ liệu nhạy cảm.
Tần suất các cuộc tấn công bằng phần mềm tống tiền đang gia tăng và các mối đe dọa rò rỉ thông tin mật đang xuất hiện liên tiếp.
Đối diện áp lực khởi kiện và trừng phạt từ Hoa Kỳ, nhân viên CNTT của Triều Tiên đã tiếp tục tăng tần suất tấn công bằng phần mềm tống tiền kể từ tháng 10 năm ngoái. Họ đã gây sức ép lên các công ty lớn và đe dọa sẽ tiết lộ thông tin mật hoặc bán cho đối thủ cạnh tranh:
Trước đây, nhân viên CNTT đã cố gắng quay lại công ty bằng danh tính khác sau khi bị sa thải, nhưng hiện nay họ trực tiếp sử dụng việc tiết lộ các tài liệu mật nội bộ và thông tin dự án như token để duy trì nguồn thu nhập của đất nước.
GTIG nhận thấy rằng họ đã tham gia vào nhiều dự án cho đến nay, bao gồm các ứng dụng Chuỗi được phát triển dựa trên Solana và Rust, các trang web hoặc ứng dụng AI dựa trên Electron hoặc Next.js và thậm chí cả robot tự động và hệ thống quản lý nội dung:
Một số dự án liên quan đến công nghệ nhạy cảm và hầu hết các khoản thanh toán đều được thực hiện bằng crypto, khiến nguồn và dòng tiền khó theo dõi hơn.
Sự tiện lợi có nghĩa là bình thường? Hoàn cảnh làm việc BYOD trở thành một lỗ hổng mới
Ngoài ra, GTIG cũng đề cập cụ thể rằng do một số công ty áp dụng chính sách "Mang theo thiết bị cá nhân (BYOD)", cho phép nhân viên truy cập từ xa vào hệ thống công ty thông qua thiết bị cá nhân nên việc giám sát bảo mật thông tin và nhận dạng thiết bị truyền thống có thể trở nên kém hiệu quả:
Các kỹ thuật viên Triều Tiên đã xác định hoàn cảnh BYOD là mục tiêu lý tưởng và bắt đầu hoạt động tại các doanh nghiệp như vậy vào đầu năm 2025. Việc thiếu khả năng giám sát, theo dõi thiết bị và ghi nhật ký hoàn chỉnh khiến họ dễ dàng trong đó và thực hiện hành vi đánh cắp dữ liệu cũng như các hoạt động độc hại khác.
Các công ty toàn cầu lên tiếng báo động, kêu gọi tăng cường xác minh và giám sát an ninh thông tin
Phương pháp tấn công của tin tặc Triều Tiên vẫn đang thay đổi. FBI và thám tử Chuỗi ZachXBT đã tiết lộ cách đây vài tháng rằng họ đã thực hiện các cuộc tấn công kỹ thuật xã hội được thiết kế cẩn thận và khó phát hiện vào các dự án crypto và các công ty liên quan, nhằm mục đích phát tán phần mềm độc hại và đánh cắp tài sản crypto của công ty.
Đối diện các hoạt động xâm nhập như vậy, các công ty phải cảnh giác hơn và tăng cường kiểm tra bối cảnh của người nộp đơn, quy trình xác minh và bảo vệ an ninh thông tin, đặc biệt là kiểm soát nhân sự từ xa và nền tảng gia công phần mềm:
Triều Tiên đã thiết lập một mạng lưới hoàn chỉnh các hoạt động nhận dạng giả và một hệ thống hỗ trợ xuyên quốc gia. Tính linh hoạt và phạm vi thâm nhập của nó đã khiến nó trở thành rủi ro bảo mật lớn đối với ngành công nghệ toàn cầu.
Cảnh báo rủi ro
Đầu tư crypto có mức độ rủi ro cao, giá của chúng có thể dao động mạnh và bạn có thể mất toàn bộ số tiền đầu tư. Hãy đánh giá rủi ro một cách cẩn thận.
