Microsoft Threat Intelligence đã phát hiện một chiến dịch tinh vi do các nhân viên IT làm việc từ xa của Bắc Triều Tiên tiến hành, những người đang lợi dụng các công cụ trí tuệ nhân tạo (AI) tiên tiến để thâm nhập vào các tổ chức trên toàn cầu. Kể từ ít nhất năm 2020, những cá nhân có kỹ năng cao này, thường hoạt động từ Bắc Triều Tiên, Trung Quốc và Nga, đã nhắm mục tiêu vào các vai trò liên quan đến công nghệ trong nhiều ngành công nghiệp khác nhau. Mục tiêu kép của họ là tạo ra nguồn thu nhập đáng kể cho Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), đồng thời thực hiện các hành vi đánh cắp dữ liệu nhạy cảm, gây ra rủi ro nghiêm trọng cho các doanh nghiệp và an ninh quốc gia.
Sự Phát Triển Của Các Chiến Thuật Và Tích Hợp AI
Nâng Cao Chất Lượng Nhận Dạng Giả Mạo
Sự phát triển đáng kể nhất trong chiến thuật của nhóm này kể từ năm 2024 là việc tích hợp AI để nâng cao chất lượng của các danh tính lừa đảo. Cụ thể, AI được sử dụng để thay thế hình ảnh trong các tài liệu tuyển dụng bị đánh cắp, đảm bảo rằng khuôn mặt mới khớp một cách tự nhiên với các đặc điểm khác của tài liệu. Đồng thời, công nghệ này còn tinh chỉnh ảnh hồ sơ của “nhân viên” để chúng trông chuyên nghiệp và đáng tin cậy hơn, giúp vượt qua các quy trình sàng lọc ban đầu, cả tự động lẫn thủ công. Khả năng tạo ra các tài liệu giả mạo tinh vi này cho phép các tác nhân đe dọa dễ dàng thiết lập niềm tin và đạt được các vị trí mong muốn trong các tổ chức mục tiêu.
Kỹ Thuật Ngụy Trang Giọng Nói
Ngoài việc cải thiện hình ảnh, phần mềm thay đổi giọng nói cũng đang được áp dụng để che giấu danh tính thực của chúng trong quá trình giao tiếp, đặc biệt là trong các buổi phỏng vấn trực tuyến. Điều này gây ra một thách thức lớn cho các bộ phận Nhân sự và An ninh thông tin, làm suy yếu khả năng xác minh danh tính và ý định thực sự của ứng viên. Kỹ thuật này cho phép các tác nhân đe dọa duy trì sự ẩn danh và tiến hành các quy trình tuyển dụng lừa đảo một cách hiệu quả hơn, gia tăng nguy cơ thâm nhập nội bộ.
Phạm Vi Hoạt Động Và Phương Thức Thực Hiện
Tên Mã Tác Nhân Đe Dọa và Mở Rộng Phạm Vi
Hoạt động này, được Microsoft theo dõi dưới các tên mã như Jasper Sleet (trước đây là Storm-0287), Storm-1877 và Moonstone Sleet, đã mở rộng đáng kể về phạm vi. Ban đầu tập trung vào các ngành công nghệ, sản xuất và vận tải tại Mỹ, chiến dịch này hiện đã nhắm mục tiêu vào một phạm vi rộng lớn hơn các ngành công nghiệp trên toàn cầu. Sự mở rộng này cho thấy sự gia tăng về quy mô và tham vọng của nhóm tác nhân đe dọa, đe dọa đến nhiều lĩnh vực kinh tế và địa lý hơn.
Phát Triển Nhân Cách Giả Mạo và Kỹ Thuật Trốn Tránh
Để thâm nhập các tổ chức, những nhân viên IT Bắc Triều Tiên này tạo ra các nhân cách giả mạo dựa trên danh tính bị đánh cắp hoặc thuê. Chúng xây dựng một cách tỉ mỉ các dấu vết kỹ thuật số đáng tin cậy trên các nền tảng chuyên nghiệp như LinkedIn và GitHub, thể hiện một lịch sử làm việc và kỹ năng phù hợp với các vị trí mục tiêu. Để che giấu vị trí địa lý thực sự và duy trì khả năng truy cập bền bỉ, chúng sử dụng các công cụ như mạng riêng ảo (VPNs), máy chủ riêng ảo (VPSs) và các công cụ quản lý và giám sát từ xa (RMM) phổ biến như TeamViewer và AnyDesk. Việc sử dụng các công cụ này cho phép chúng kiểm soát máy tính từ xa một cách kín đáo, như thể đang làm việc hợp pháp từ một địa điểm được chấp thuận.
Vai Trò Quan Trọng Của Những Kẻ Hỗ Trợ
Mô hình hoạt động này được củng cố bởi một mạng lưới những kẻ hỗ trợ đóng vai trò then chốt. Những kẻ này không chỉ giúp đỡ trong việc nộp đơn xin việc và quản lý các vấn đề hậu cần phức tạp như chuyển tiếp phần cứng của công ty thông qua các “trại máy tính xách tay” (laptop farms), mà còn chịu trách nhiệm rửa tiền thanh toán về Bắc Triều Tiên. Sự tham gia của chúng cho thấy một cơ cấu tổ chức chặt chẽ và chuyên nghiệp, giúp duy trì hoạt động và che giấu nguồn gốc của các hoạt động bất hợp pháp.
Tác Động Và Bằng Chứng Về Hoạt Động
Khai Thác Tài Chính và Đánh Cắp Dữ Liệu
Ngoài việc tạo ra doanh thu bất hợp pháp, vi phạm các lệnh trừng phạt quốc tế, các nhân viên IT Bắc Triều Tiên còn đặt ra mối đe dọa an ninh nghiêm trọng. Chúng truy cập và đánh cắp các thông tin giá trị cao như tài sản trí tuệ (IP), mã nguồn (source code), bí mật thương mại và dữ liệu kinh doanh nhạy cảm khác. Trong một số trường hợp, chúng đã leo thang mức độ đe dọa bằng cách tống tiền các nhà tuyển dụng, đe dọa tiết lộ hoặc bán dữ liệu nhạy cảm đã thu thập được nếu không nhận được khoản thanh toán. Điều này không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng đến danh tiếng và lợi thế cạnh tranh của các doanh nghiệp.
Các Bản Cáo Trạng Chính Thức và Quy Mô Tác Động
Mức độ nghiêm trọng của mối đe dọa này được củng cố bởi bản cáo trạng của Bộ Tư pháp Hoa Kỳ vào tháng 1 năm 2025, nhắm vào hai công dân Bắc Triều Tiên và ba kẻ hỗ trợ. Chỉ từ mười trong số ít nhất 64 công ty Mỹ bị thâm nhập trong khoảng thời gian từ 2018 đến 2024, nhóm này đã tạo ra hơn 866.000 USD. Con số này làm nổi bật tác động tài chính đáng kể của các kế hoạch này và quy mô công nghiệp của chúng. Thêm vào đó, một kho lưu trữ công khai được Microsoft phát hiện vào tháng 10 năm 2024 đã tiết lộ các sách hướng dẫn chi tiết (playbooks) về hành vi trộm cắp danh tính, cách tạo hình ảnh bằng AI và bảng theo dõi thanh toán, cung cấp bằng chứng rõ ràng về tính có tổ chức và hệ thống của hoạt động.
Biện Pháp Ứng Phó và Khuyến Nghị
Các Biện Pháp Phòng Vệ Của Microsoft
Để đối phó với mối đe dọa này, Microsoft đã thực hiện các biện pháp chủ động. Công ty đã đình chỉ 3.000 tài khoản người dùng được xác định có liên quan đến các nhân viên IT Bắc Triều Tiên này. Đồng thời, Microsoft cũng triển khai các giải pháp học máy (machine learning) tiên tiến để phát hiện hoạt động đáng ngờ, ví dụ như nhận diện các “rủi ro du lịch thời gian không thể” (impossible time travel risks). Đây là trường hợp một tài khoản đăng nhập từ hai vị trí địa lý cách xa nhau (ví dụ: một quốc gia phương Tây và Trung Quốc hoặc Nga) trong một khoảng thời gian quá ngắn để có thể di chuyển bằng phương tiện thông thường. Kỹ thuật này giúp phát hiện các truy cập trái phép hoặc mạo danh.
Kiến Nghị Cho Tổ Chức
Các tổ chức cần áp dụng các quy trình sàng lọc và giám sát nghiêm ngặt để tự bảo vệ mình trước mối đe dọa tinh vi này.
Quy Trình Sàng Lọc Nghiêm Ngặt
- Xác minh dấu vết kỹ thuật số (digital footprints): Kỹ lưỡng kiểm tra sự hiện diện trực tuyến của ứng viên trên các nền tảng chuyên nghiệp như LinkedIn, GitHub và các diễn đàn chuyên ngành. Tìm kiếm sự nhất quán, lịch sử hoạt động, và bất kỳ dấu hiệu giả mạo hoặc thiếu hụt nào.
- Thực hiện phỏng vấn video bắt buộc: Yêu cầu phỏng vấn trực tiếp qua video với camera bật để xác minh danh tính của ứng viên. Chú ý đến các dấu hiệu không nhất quán giữa hình ảnh và thông tin trong hồ sơ, cũng như bất kỳ nỗ lực nào nhằm che giấu khuôn mặt hoặc môi trường xung quanh.
- Kiểm tra kỹ lưỡng sơ yếu lý lịch để tìm điểm không nhất quán: Tìm kiếm các thông tin không khớp về thời gian làm việc, chức danh, kỹ năng, hoặc các khoảng trống không giải thích được trong lịch sử công việc. Cần xác minh thông tin với các nguồn độc lập khi có thể.
Giám Sát Hành Vi Bất Thường
Việc giám sát liên tục các hành vi bất thường của nhân viên là yếu tố then chốt. Điều này bao gồm, nhưng không giới hạn ở:
- Sử dụng các công cụ RMM không được phê duyệt hoặc không có trong chính sách của công ty.
- Truy cập từ các địa chỉ IP nước ngoài không giải thích được hoặc từ các mạng VPN/proxy đáng ngờ.
- Mẫu truy cập dữ liệu bất thường, chẳng hạn như truy cập vào các hệ thống nhạy cảm không cần thiết cho vai trò công việc, tải xuống lượng lớn dữ liệu, hoặc cố gắng truy cập vào các thư mục bị hạn chế.
- Hoạt động ngoài giờ làm việc thông thường hoặc từ các múi giờ không phù hợp với vị trí được khai báo của nhân viên.
Khi các tác nhân đe dọa Bắc Triều Tiên tiếp tục tinh chỉnh các chiến thuật của mình bằng AI và các công nghệ tiên tiến khác, cộng đồng an ninh mạng toàn cầu phải duy trì cảnh giác cao độ để chống lại mối đe dọa nội bộ đang phát triển này. Mối đe dọa này đã tác động đến hơn 300 công ty Hoa Kỳ, bao gồm cả các công ty thuộc danh sách Fortune 500, và chưa có dấu hiệu chậm lại, đòi hỏi sự phối hợp và phòng thủ chủ động từ mọi tổ chức.
