Cách Triều Tiên khai thác ‘mỏ vàng’ crypto
Các nhóm hacker có thể đã mang về hàng tỷ USD tiền mã hóa cho Triều Tiên.
Cộng đồng tiền mã hóa có lẽ chưa thể quên vụ hack nhắm vào tượng đài GameFi Axie Infinity hồi tháng 3 năm nay. Với thiệt hại 625 triệu USD, đây là vụ hack lớn nhất trong lịch sử crypto và đã khiến Axie Infinity lao đao suốt nhiều tháng.
Đến tháng 4, Cục Điều tra Liên bang Mỹ (FBI) cáo buộc Lazarus Group, nhóm hacker do nhà nước Triều Tiên hậu thuẫn, là thủ phạm đứng sau. Theo FBI, Lazarus đăng các tin tuyển dụng trên LinkedIn để giả vờ chiêu mộ nhân viên studio Sky Mavis.
Để nạn nhân không nghi ngờ, nhóm tội phạm thậm chí dựng nên buổi phỏng vấn giả rồi gửi thư ngỏ chứa mã độc cho nạn nhân. Khi nhân viên nhấp vào file PDF, hacker sẽ xâm nhập vào máy tính của họ. Đó là cách các node xác thực giao dịch trên cầu nối Ronin bị chiếm quyền kiểm soát.
Doanh thu khủng từ “nghề” hack
Lazarus không phải chỉ mới nhắm vào thị trường tiền mã hóa gần đây. Năm 2017, công ty bảo mật SecureWorks đã theo dõi Lazarus và phát hiện nhóm này đánh cắp Bitcoin của các nạn nhân trên khắp thế giới. Chiêu thức tấn công của Lazarus khá giống với trường hợp của Axie Infinity. Nhóm hacker gửi email quảng cáo mua Bitcoin giá rẻ kèm theo đường liên kết giả.
Sau khi người nhận truy cập liên kết, phần mềm độc hại được kích hoạt và chạy ngầm trong máy tính. Nếu thiết bị thực hiện giao dịch Bitcoin và tiền mã hóa, hacker sẽ ghi lại thông tin và âm thầm đánh cắp tiền của người dùng.
Không chỉ giả làm nhà tuyển dụng, các nhóm tội phạm Triều Tiên còn trộm thông tin lý lịch để ứng tuyển vào công ty tiền mã hóa. Chính phủ Mỹ cảnh báo các tội phạm hoạt động mạnh mẽ nhất ở Trung Quốc và Nga, tiếp đến là châu Phi và Đông Nam Á. Nhóm hacker Triều Tiên tự nhận mình có đủ năng lực đảm nhiệm những công việc phức tạp như phát triển ứng dụng, lập trình game và xây dựng sàn giao dịch.
Nhà nghiên cứu an ninh mạng Mandiant nhận định mục đích của Lazarus là huy động nguồn tiền bất hợp pháp và thông tin tình báo cho chính phủ Triều Tiên. Theo một nhóm chuyên gia Liên Hiệp Quốc (UN), số tiền thu được từ các cuộc tấn công mạng là nguồn tài trợ lớn cho các chương trình hạt nhân và tên lửa đạn đạo bất hợp pháp của Triều Tiên.
Anne Neuberger, phó cố vấn an ninh quốc gia Mỹ về an ninh mạng, ước tính 1/3 ngân quỹ cho chương trình tên lửa Triều Tiên đến từ các vụ hack. Theo cơ quan tình báo Hàn Quốc, các hacker Triều Tiên đã đánh cắp khoảng 1.2 tỷ USD tài sản mã hóa từ năm 2017. Hơn một nửa trong số đó bị đánh cắp trong năm 2022.
Trong khi đó, Chainalysis báo cáo Triều Tiên đã đánh cắp ít nhất 1 tỷ USD từ các sàn giao dịch phi tập trung chỉ trong 9 tháng đầu năm 2022. Lazarus bị cáo buộc hack 571 triệu USD từ các sàn giao dịch tiền mã hóa từ tháng 1/2017-tháng 9/2018 và 316 triệu USD từ năm 2019 đến tháng 11/2020.
Lò luyện nhân tài
Công ty an ninh mạng FireEye tiết lộ Triều Tiên đã đào tạo một số lượng lớn nhân lực am hiểu về crypto và blockchain để có thể khai thác và đánh cắp tiền từ các quốc gia khác. Theo The Conversation, chính quyền nước này hậu thuẫn cho một số nhóm hacker, bao gồm Lazarus Group và Advanced Persistent Threat 38 (APT38).
Dù không rõ có chính xác bao nhiêu hacker được Triều Tiên hỗ trợ, các chuyên gia ước tính chính phủ có khoảng 6,000-7,000 người làm việc cả trong và ngoài nước. Triều Tiên đã đầu tư vào “kho vũ khí” tội phạm mạng này trong khoảng 15 năm và khai phá mỏ vàng crypto ít nhất 8 năm.
Nhưng nguồn nhân lực khổng lồ đó đến từ đâu? Câu trả lời là Văn phòng 39 khét tiếng. Theo lời khai của nhân chứng Triều Tiên, Văn phòng 39 phụ trách kiếm ngoại tệ cho nhà nước Triều Tiên, có thể là từ vàng, đá quý, nông sản cho đến các vụ hack.
Cựu lãnh đạo Kim Jong-il từng tuyên bố: "Nếu Internet giống như khẩu súng thì các cuộc tấn công mạng giống như bom nguyên tử". Con trai Kim Jong-un của ông đã tiếp thu hoàn hảo tinh thần đó. Những năm gần đây, Văn phòng 39 có xu hướng dịch chuyển sang các hoạt động phi pháp trên không gian mạng.
Triều Tiên chọn lọc thành viên tiềm năng cho đội quân tác chiến mạng từ khi họ còn đi học. Đội ngũ tân binh được đào tạo và bồi dưỡng chuyên sâu về ngôn ngữ mã hóa và các hệ điều hành tại những cơ quan ưu tú của chính phủ. Điển hình là Đại học Mirim, hàng năm chỉ tuyển 100 sinh viên đạt điểm cao nhất Triều Tiên.
Tốc độ phát triển của công nghệ blockchain đã mang đến cho hacker Triều Tiên cơ hội để liên tục đổi mới. Các nền tảng phi tập trung của tiền mã hóa giúp Triều Tiên lách các lệnh trừng phạt tài chính và đưa tiền về nước mà không chịu sự kiểm soát của hệ thống ngân hàng toàn cầu.
Đọc thêm: