Các nhóm tác chiến mạng nâng cao (APT groups) thường xuyên là mối đe dọa dai dẳng đối với các tổ chức và quốc gia trên toàn cầu. Trong bối cảnh này, các chiến dịch tấn công nhắm mục tiêu vào các ngành công nghiệp chiến lược vẫn tiếp tục diễn ra với độ tinh vi ngày càng cao. Theo dõi hoạt động của các nhóm APT là một phần thiết yếu trong chiến lược phòng thủ mạng quốc gia và doanh nghiệp.
Hai trong số các nhóm APT đáng chú ý liên quan đến các chiến dịch gần đây là Kimsuky và Andariel. Cả hai nhóm này đều được biết đến với khả năng thực hiện các cuộc tấn công phức tạp, thường xuyên thay đổi chiến thuật và kỹ thuật để né tránh sự phát hiện. Mối liên hệ của chúng với Reconnaissance General Bureau (RGB), cơ quan tình báo quân sự hàng đầu của Triều Tiên, nhấn mạnh bản chất được nhà nước tài trợ của các chiến dịch này và mục tiêu chiến lược mà chúng hướng tới.
Các chiến dịch gần đây của các nhóm APT này đã nhắm mục tiêu cụ thể vào các ngành công nghiệp trọng yếu của Hàn Quốc. Các mục tiêu chính bao gồm các ngành công nghiệp xây dựng và máy móc, cũng như các khu vực phát triển đô thị. Việc lựa chọn các lĩnh vực này không phải là ngẫu nhiên; chúng đại diện cho các lĩnh vực có giá trị cao về tài sản trí tuệ và bí mật thương mại, là nền tảng cho sự đổi mới và cạnh tranh kinh tế.
Một trong những chiến thuật, kỹ thuật và quy trình (TTPs) đặc trưng được các nhóm này sử dụng là việc chiếm quyền kiểm soát các bản cập nhật phần mềm VPN để triển khai mã độc. Đây là một chiến thuật đặc biệt nguy hiểm vì một số lý do quan trọng. Thứ nhất, phần mềm VPN thường được các tổ chức sử dụng rộng rãi để thiết lập kết nối an toàn với mạng nội bộ từ xa. Người dùng và hệ thống quản trị thường tin tưởng hoàn toàn vào tính toàn vẹn của phần mềm VPN và các bản cập nhật của nó. Việc lợi dụng niềm tin này cho phép kẻ tấn công vượt qua các hàng rào bảo mật truyền thống một cách hiệu quả.
Thứ hai, việc tiêm mã độc vào quy trình cập nhật phần mềm VPN là một hình thức tấn công chuỗi cung ứng (supply chain attack). Loại tấn công này nhắm vào các mắt xích yếu trong chuỗi cung ứng phần mềm, thường là các nhà cung cấp hoặc các kênh phân phối cập nhật. Bằng cách thỏa hiệp máy chủ cập nhật hoặc chèn mã độc vào gói cập nhật hợp pháp, kẻ tấn công có thể phân phối phần mềm độc hại đến một lượng lớn nạn nhân mà không bị nghi ngờ. Khi người dùng cài đặt bản cập nhật bị nhiễm mã độc, mã độc sẽ được thực thi với các quyền truy cập tương tự như phần mềm VPN, thường là quyền hệ thống, cho phép kẻ tấn công kiểm soát toàn diện thiết bị bị xâm nhập.
Khi đã thành công triển khai mã độc thông qua phương thức này, mục đích chính của các chiến dịch này là đánh cắp tài sản trí tuệ và bí mật thương mại. Đối với các ngành công nghiệp xây dựng, điều này có thể bao gồm các bản thiết kế kiến trúc, quy trình xây dựng tiên tiến, thông tin về vật liệu mới, công nghệ kỹ thuật số hóa quản lý dự án, hoặc các bí quyết về kỹ thuật xây dựng các công trình phức tạp như nhà máy điện, cơ sở hạ tầng giao thông hoặc các dự án đô thị quy mô lớn. Trong ngành công nghiệp máy móc, mục tiêu có thể là các thiết kế độc quyền, công nghệ sản xuất, dữ liệu nghiên cứu và phát triển (R&D), thông số kỹ thuật của máy móc công nghiệp, hoặc các thuật toán điều khiển tự động.
Việc đánh cắp các thông tin nhạy cảm này có ý nghĩa chiến lược sâu rộng. Nó được sử dụng để hỗ trợ các kế hoạch xây dựng nhà máy công nghiệp và phát triển địa phương của Triều Tiên. Bằng cách có được các công nghệ, quy trình và thiết kế tiên tiến từ các quốc gia phát triển như Hàn Quốc, Triều Tiên có thể đẩy nhanh tốc độ phát triển công nghiệp của mình, giảm chi phí nghiên cứu và phát triển nội bộ, và có được lợi thế cạnh tranh. Điều này không chỉ ảnh hưởng đến khả năng đổi mới và vị thế kinh tế của Hàn Quốc mà còn có thể có những tác động đáng kể đến cán cân công nghệ và quân sự trong khu vực.
Bản chất dai dẳng và tinh vi của các nhóm APT như Kimsuky và Andariel, cùng với việc chúng nhắm mục tiêu vào các ngành công nghiệp then chốt bằng các TTPs tiên tiến như chiếm quyền kiểm soát bản cập nhật VPN, đòi hỏi các tổ chức phải duy trì cảnh giác cao độ. Việc hiểu rõ động cơ, mục tiêu và phương thức hoạt động của các đối tượng đe dọa này là điều tối quan trọng để xây dựng một chiến lược phòng thủ mạng mạnh mẽ và hiệu quả.
