Nhóm Hacker Bắc Triều Tiên Mới Bị Trừng Phạt Do Trộm Cắp Tiền điện tử Ở Mỹ

Thông tin chính:

• Chính phủ Hoa Kỳ vừa áp đặt lệnh trừng phạt đối với hai cá nhân và bốn thực thể của Nga liên quan đến chiến dịch tiền điện tử mạng.
• Các nhân viên tấn công mạng của Triều Tiên ngày càng ưa chuộng việc xâm nhập hơn là hack bằng sức mạnh thô.
• Họ đã chịu trách nhiệm cho hàng tỷ bị đánh cắp từ không gian tiền điện tử trong nhiều sự kiện chỉ trong năm nay.

Hoa Kỳ đã áp đặt các biện pháp trừng phạt mới đối với một hoạt động mạng do Bắc Triều Tiên hỗ trợ. Nhóm này được cho là đã sử dụng các đơn xin việc từ xa để chuyển hướng các khoản tiền tiền điện tử bị đánh cắp vào chương trình vũ khí hạt nhân của Kim Jong Un.

Các diễn biến mới nhất hiện cho thấy các cuộc tấn công mạng của Triều Tiên đang leo thang từ các cuộc tấn công mạng thô bạo sang việc xâm nhập và đánh cắp quỹ từ bên trong. Dưới đây là chi tiết.

Thâm nhập thông qua việc làm, không chỉ là hack tiền mã hóa

Các cuộc tấn công mạng của Triều Tiên đã nhiều lần gây chú ý trên các phương tiện truyền thông vì những vụ hack gây thiệt hại, bao gồm việc nhóm Lazarus khét tiếng tham gia vào một số vụ trộm tiền điện tử lớn nhất cho đến nay.

Tuy nhiên, theo những phát hiện gần đây của Bộ Tài chính Mỹ và công ty phân tích blockchain TRM Labs, chế độ này hiện đang đầu tư mạnh mẽ vào các phương pháp khác. Một trong những điều đáng lo ngại nhất trong số này là việc sử dụng các công nhân CNTT có kỹ năng cao giả vờ là nhà thầu từ xa.

Những nhà thầu này được sử dụng để đảm bảo việc làm tại các công ty blockchain và tiền điện tử có trụ sở tại Mỹ và không chỉ đánh cắp dữ liệu:

Thay vào đó, họ giả mạo là nhân viên thực sự bằng cách giả danh là công dân Mỹ. Họ khai thác quyền truy cập của công ty, cài đặt phần mềm độc hại và thu thập lương bổng được chuyển về chính phủ Triều Tiên.

Theo các báo cáo, công việc của họ được cho là trải rộng trên nhiều lĩnh vực bao gồm phần mềm kinh doanh, ứng dụng sức khỏe và thể dục, mạng xã hội, thể thao, giải trí và các sàn giao dịch tiền điện tử.

Đối tượng bị trừng phạt: Cá nhân và công ty bình phong

Vào ngày 8 tháng 7, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) đã công bố lệnh trừng phạt đối với hai cá nhân và bốn thực thể Nga liên quan đến chiến dịch tấn công mạng tiền điện tử.

Trong số những người được nêu tên có Song Kum Hyok, một điệp viên Bắc Triều Tiên và là thành viên của nhóm hack Andariel. Để đưa ra bối cảnh, nhóm hack Andariel là một phần của cánh quân sự tình báo của Kim Jong Un được gọi là Cục Tổng cục Tình báo.

Song bị cáo buộc là người chủ mưu của một chiến dịch đánh cắp danh tính quy mô lớn từ năm 2022. Sau đó, anh ta đã đánh cắp tên, số An sinh xã hội và các thông tin cá nhân khác từ công dân Mỹ.

Những danh tính bị đánh cắp này sau đó đã được sử dụng để ngụy trang cho các nhân viên CNTT Bắc Triều Tiên như những ứng viên thực sự.

Khi được thuê, các công nhân sẽ chia sẻ thu nhập với Song và các nhân viên khác. Trong một số trường hợp, họ thậm chí còn đi xa đến mức chèn phần mềm độc hại vào hệ thống của công ty.

Một cá nhân bị trừng phạt khác là Gayk Asatryan, một công dân Nga, người đã bị cáo buộc ký một thỏa thuận 10 năm với các công ty thương mại của Triều Tiên vào năm 2024.

Ông đã hình thành một mạng lưới dưới thỏa thuận này. Nó được gọi là "Mạng lưới Công nhân CNTT Asatryan", và sẽ chứa tối đa 30 chuyên gia CNTT Bắc Triều Tiên ở Nga. Ông đã giúp họ với một số nhiệm vụ, bao gồm việc giúp họ có được việc làm tại các công ty công nghệ phương Tây.

Và cho đến nay, bốn cá nhân bị trừng phạt liên quan đến Asatryan hiện bị cấm truy cập vào bất kỳ tài sản nào trong nước Mỹ. Họ cũng phải đối mặt với hình phạt hình sự đối với bất kỳ giao dịch nào đang diễn ra hoặc trong tương lai với các công ty Mỹ.

Tất cả để tài trợ cho vũ khí hủy diệt hàng loạt

Các quan chức Mỹ tin rằng mục tiêu cuối cùng của kế hoạch tấn công mạng kéo dài nhiều năm này là hỗ trợ phát triển vũ khí của Bắc Triều Tiên. Phó Bộ trưởng Tài chính Michael Faulkender cho biết hàng ngàn nhân viên CNTT Bắc Triều Tiên, chủ yếu đóng tại Nga và Trung Quốc, đang tích cực nhắm mục tiêu vào các công ty tiền điện tử ở những quốc gia giàu có hơn.

Thu nhập của họ, thường được thu được dưới những danh tính giả, được chuyển trở lại cho chế độ để thanh toán cho kho vũ khí và đầu đạn hạt nhân của nó.

“Chế độ Kim quyết tâm lẩn tránh các lệnh trừng phạt bằng cách sử dụng mọi kẽ hở kỹ thuật số mà họ có thể tìm thấy,” Faulkender nhấn mạnh. “Từ việc đánh cắp tài sản kỹ thuật số đến việc nộp đơn xin việc giả, các chiến thuật của họ đang phát triển. Chúng tôi đang sử dụng tất cả các công cụ có sẵn để gián đoạn những mạng lưới này.”

Thiệt hại lớn trong lĩnh vực tiền điện tử

Mặc dù các vụ hack sàn giao dịch vẫn là một rủi ro, nhưng các chiến lược khác như sự xâm nhập của công nhân IT ngày càng trở nên phổ biến hơn. Điều này là do chúng có độ hiển thị thấp hơn và lợi nhuận cao.

Tương tự, vào ngày 30 tháng 6, bốn công dân Triều Tiên đã bị buộc tội lừa đảo qua mạng và rửa tiền. Điều này xảy ra sau khi họ bị cáo buộc giả mạo là nhân viên làm việc từ xa tại các công ty blockchain ở Mỹ và Serbia.

Vào ngày 5 tháng 6, Bộ Tư pháp Mỹ đã tiến hành thu giữ 7,74 triệu đô la tiền điện tử bị đóng băng liên quan đến các nhân viên CNTT của Triều Tiên. Theo FBI, toàn bộ hoạt động kiếm tiền này có thể trị giá hàng trăm triệu đô la. Điều này liên quan đến việc tiền được chuyển đến chế độ này qua Nga, Trung Quốc, và thậm chí là Mỹ.