Các nhà nghiên cứu an ninh mạng từ Flashpoint đã công bố chi tiết về những chiến thuật tinh vi được các nhóm DPRK threat actors sử dụng để xâm nhập vào các tổ chức toàn cầu thông qua các lỗ hổng liên quan đến làm việc từ xa. Đây là một hình thức tấn công mạng đáng báo động, gây ra thiệt hại đáng kể.
Các đặc vụ liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) mạo danh là các nhà phát triển tự do, chuyên gia IT hoặc nhà thầu hợp pháp. Sau đó, họ tích hợp vào quy trình làm việc của công ty để biển thủ ít nhất 88 triệu USD. Đây là một ví dụ điển hình về tấn công mạng có chủ đích nhằm vào tài chính.
Nguồn thu bất hợp pháp này được sử dụng trực tiếp để tài trợ cho các chương trình vũ khí của DPRK, một vấn đề được nhấn mạnh trong các cuộc họp giao ban tình báo gần đây. Phân tích từ Flashpoint, dựa trên dữ liệu thu thập được từ các hệ thống của DPRK, cung cấp cái nhìn sâu sắc chưa từng có về các hoạt động tinh vi của họ. Các nhóm này khai thác sự linh hoạt của làm việc từ xa để né tránh việc bị phát hiện và duy trì quyền truy cập lâu dài vào hệ thống mục tiêu. Đây là một minh chứng rõ ràng cho sự phát triển của mối đe dọa mạng trong môi trường làm việc hiện đại.
Hoạt Động Tấn Công Mạng Từ Các Nhóm DPRK
Xây Dựng Danh Tính Giả và Mạo Danh
Trọng tâm của các chiến dịch này là một hệ thống danh tính giả mạo được xây dựng tỉ mỉ và cực kỳ phức tạp. Hệ thống này cho phép các tác nhân DPRK duy trì sự xâm nhập trong nhiều năm mà không bị phát hiện. Các đặc vụ tạo ra “danh tính song song”, quản lý lên đến mười hồ sơ trên một thiết bị duy nhất, mỗi hồ sơ có những biến thể nhỏ về chi tiết chuyên môn để giống với các cá nhân khác nhau.
Những danh tính này được hỗ trợ bởi “bộ công cụ cá nhân” (persona kits) hoặc các bảng ghi chú chi tiết, giúp đảm bảo sự nhất quán trong các tương tác và tránh sai sót. Song song đó, việc sử dụng máy chủ proxy và kỹ thuật chuyển đổi chữ ký giúp mô phỏng nhiều nguồn gốc địa lý đa dạng, làm phức tạp hơn nữa quá trình xác định vị trí thực của kẻ tấn công. Sự che giấu này làm thất bại các quy trình xác minh truyền thống, vì các hồ sơ này trông có vẻ vô hại và đủ số lượng lớn để vượt qua hệ thống giám sát tự động.
Sử Dụng Trí Tuệ Nhân Tạo (AI) Trong Tấn Công
Công cụ trí tuệ nhân tạo tạo sinh (Generative AI) như ChatGPT được sử dụng rộng rãi để tạo ra các phản hồi chuyên nghiệp cho các cuộc phỏng vấn kỹ thuật, mô phỏng các cuộc đối thoại tự nhiên và thậm chí thay đổi hình ảnh hồ sơ để tăng tính chân thực. Việc kiểm tra các URL Google Dịch đặc trưng của DPRK đã xác nhận sự phụ thuộc vào AI này.
AI giúp chuyển đổi các rào cản ngôn ngữ cơ bản thành những cuộc giao tiếp liền mạch và thuyết phục. Điều này đánh lừa cả các nhà tuyển dụng lẫn đội ngũ an ninh, làm tăng khả năng thành công của các vụ tấn công mạng.
Hạ Tầng Kỹ Thuật và Công Cụ Tấn Công
Cơ sở hạ tầng lừa đảo từ xa của DPRK được tăng cường bằng một bộ công nghệ tiên tiến, được thiết kế cho việc giả mạo vị trí, điều khiển từ xa và phối hợp nội bộ. Để che giấu nguồn gốc của mình, các đặc vụ triển khai các mạng riêng ảo (VPN) như Astrill VPN và các proxy tùy chỉnh. Bên cạnh đó, các công cụ do DPRK phát triển như NetKey và oConnect được dùng để tạo kênh truyền thông bảo mật đến mạng nội bộ.
Truy cập từ xa được hỗ trợ thông qua phần mềm camera ảo bao gồm OBS và ManyCam để tạo ra các luồng video trực tiếp giả mạo. Các công cụ như AnyDesk và VMware Workstation cho phép quản lý hệ thống một cách bí mật. Trong các kịch bản an ninh cao, các thiết bị IP-KVM như PiKVM cung cấp quyền kiểm soát cấp độ vật lý đối với phần cứng do nhà tuyển dụng cấp, thường bị lộ ngẫu nhiên trực tuyến.
Nội bộ, các nhóm phối hợp thông qua IP Messenger để chia sẻ dữ liệu nhạy cảm và Classroom Spy Pro để giám sát. Điều này cho thấy mức độ tổ chức và kiểm soát chặt chẽ trong các hoạt động tấn công mạng của nhóm DPRK threat actors.
Tài Chính Hóa Hoạt Động Bất Hợp Pháp
Về mặt tài chính, các hoạt động của nhóm phụ thuộc vào việc chuyển tiền điện tử và các nền tảng thanh toán trực tuyến. Các mạng lưới hậu cần toàn cầu hỗ trợ điều này, bao gồm các “trang trại máy tính xách tay” (laptop farms) – các cụm thiết bị được duy trì ở các địa điểm như Ba Lan, Nigeria, Trung Quốc, Nga, Nhật Bản và Việt Nam.
Các đối tượng trung gian ở Hoa Kỳ còn hỗ trợ bằng cách xử lý việc vận chuyển thiết bị, thiết lập tài khoản ngân hàng và thậm chí cả các cuộc phỏng vấn ủy quyền. Các địa chỉ vận chuyển lặp lại là dấu hiệu cho thấy các trung tâm lừa đảo tập trung. Những hoạt động này trực tiếp dẫn đến các vụ rò rỉ dữ liệu nhạy cảm và chiếm đoạt tài sản. Điều này nhấn mạnh thêm mức độ nguy hiểm của các cuộc tấn công mạng này.
Chiến Lược Phòng Ngừa và Phát Hiện Xâm Nhập
Để chống lại các mối đe dọa mạng này, Flashpoint khuyến nghị một chiến lược phòng thủ đa lớp, dựa trên thông tin tình báo, nhấn mạnh việc sàng lọc nghiêm ngặt và giám sát liên tục. Đây là chìa khóa để phát hiện xâm nhập sớm và ngăn chặn thiệt hại.
Quy Trình Sàng Lọc Nghiêm Ngặt
Trong quá trình phỏng vấn, việc yêu cầu video trực tiếp và kiểm tra kỹ lưỡng các điểm không nhất quán, chẳng hạn như phản hồi theo kịch bản hoặc hành vi né tránh, có thể giúp vạch mặt những kẻ mạo danh. Theo báo cáo của Flashpoint, các “cờ đỏ” (red flags) bao gồm:
- Tài khoản email mới được tạo.
- Hồ sơ LinkedIn chung chung với ít kết nối.
- Kho lưu trữ GitHub “cookie-cutter” (sao chép y hệt).
Tham khảo chi tiết báo cáo tại: Flashpoint Blog.
Kiểm Soát Kỹ Thuật Sau Tuyển Dụng
Sau khi tuyển dụng, các biện pháp kiểm soát kỹ thuật là vô cùng quan trọng để ngăn chặn các tấn công mạng tiếp theo:
- Hệ thống phát hiện bất thường cần gắn cờ các mẫu đăng nhập không đều, như sử dụng VPN từ các vị trí địa lý không khớp.
- Giám sát các công cụ quản lý từ xa không được phép hoặc cài đặt camera ảo.
- Xác minh vị trí địa lý trên các thiết bị của công ty, kết hợp với theo dõi địa chỉ vận chuyển, giúp xác định các “trang trại máy tính xách tay” đáng ngờ.
- Phân tích hành vi mạng, tập trung vào việc rò rỉ dữ liệu bất thường hoặc sửa đổi mã, hoàn thiện các biện pháp này, đảm bảo các tổ chức làm gián đoạn quyền truy cập của DPRK trước khi nó leo thang thành hoạt động gián điệp mạng hoặc trộm cắp tài chính quy mô lớn hơn.
Cách tiếp cận toàn diện này nhấn mạnh những rủi ro ngày càng tăng của lực lượng lao động kết hợp (hybrid workforces) trong bối cảnh kỹ thuật số ngày càng đối đầu. Việc thực hiện các biện pháp phòng thủ chủ động là cần thiết để bảo vệ hệ thống khỏi các nỗ lực chiếm quyền điều khiển và các tấn công mạng phức tạp.
