
Làn sóng hacker Triều Tiên: Bảo vệ an toàn dữ liệu doanh nghiệp đang trở nên cấp bách
Tuyển chọn TechFlowTuyển chọn TechFlow

Làn sóng hacker Triều Tiên: Bảo vệ an toàn dữ liệu doanh nghiệp đang trở nên cấp bách
Làm thế nào để phòng tránh các cuộc tấn công bảo mật từ tin tặc Triều Tiên?
Tác giả: MetaTrust Labs
Vào ngày 1 tháng 1 năm 2024, một cuộc tấn công mạng nhắm vào Orbit Chain đã thu hút sự chú ý của toàn bộ giới tiền mã hóa trên thế giới. Theo báo cáo, tin tặc đã lợi dụng lỗ hổng trong hệ thống Orbit Chain để đánh cắp lượng tiền mã hóa trị giá 81,5 triệu USD và chuyển chúng sang các địa chỉ khác. Orbit Chain chính thức xác nhận sự việc này và cho biết đang hợp tác với các cơ quan thực thi pháp luật quốc tế để truy tìm danh tính và động cơ của kẻ tấn công. Một số chuyên gia an ninh cho rằng thủ đoạn và mục tiêu của vụ tấn công này rất giống phong cách của nhóm hacker Triều Tiên Lazarus, có thể đây lại là một hành vi phạm tội mạng khác của tổ chức này.
Lazarus là tổ chức nào, vì sao hoạt động của họ lại khiến cộng đồng quốc tế cảnh giác cao độ đến vậy? Và làm thế nào tổ chức này sử dụng tiền mã hóa để né tránh các biện pháp trừng phạt quốc tế và chống rửa tiền?
Nhóm hacker Lazarus đến từ Triều Tiên
Lazarus là một nhóm hacker nổi tiếng có nền tảng chính phủ Triều Tiên, đã hoạt động hơn một thập kỷ kể từ năm 2009. Nhóm này nổi tiếng với việc nhắm mục tiêu vào các tổ chức trên toàn cầu, với các chiến dịch trước đây bao gồm tấn công vào các tổ chức tài chính, phương tiện truyền thông và cơ quan chính phủ. Lazarus Group do Cục Tình báo và Trinh sát Tổng hợp Triều Tiên quản lý thông qua đơn vị 121. Tổ chức này được biết đến với việc tấn công các ngân hàng và sàn giao dịch tiền mã hóa nhằm chiếm đoạt tiền bạc và dữ liệu vì lợi ích kinh tế. Lazarus Group đối xử đặc biệt ưu đãi với các lập trình viên và khuyến khích những người có năng khiếu máy tính tham gia vào đội ngũ "tin tặc" chính thức.
Trường Đại học Tự động hóa Bình Nhưỡng là một trong những nguồn cung cấp tin tặc chủ chốt cho Lazarus Group. Hiện nay, nhóm này đã chuyển trọng tâm hoạt động từ các cuộc tấn công mang tính chính trị sang các cuộc tấn công kinh tế, tập trung chủ yếu vào thế giới tiền mã hóa. Các hoạt động của họ còn bao gồm nhắm mục tiêu vào các nhà nghiên cứu an ninh, chèn mã độc vào các nền tảng tiền mã hóa mã nguồn mở, thực hiện các vụ cướp tiền mã hóa quy mô lớn, cũng như phát tán phần mềm độc hại thông qua các buổi phỏng vấn việc làm giả mạo. Số tiền bất hợp pháp mà các nhóm hacker này thu được sẽ trải qua quy trình rửa tiền điển hình mà các băng nhóm tội phạm mạng truyền thống thường áp dụng; tiền mã hóa bị đánh cắp thường được chuyển đổi thành tiền pháp định nhằm né tránh các biện pháp chống rửa tiền.
Hàn Quốc, Mỹ và Nhật Bản luôn duy trì mức độ cảnh giác cao đối với các hoạt động của nhóm hacker Triều Tiên. Theo báo cáo, trong vài năm gần đây, các nhóm hacker Triều Tiên đã thành công trong việc đánh cắp lượng tiền mã hóa trị giá 3 tỷ USD, số tiền này được dùng để hỗ trợ chương trình vũ khí hạt nhân và tên lửa đạn đạo của Triều Tiên. Các cố vấn an ninh của Mỹ, Hàn Quốc và Nhật Bản đã họp tại Seoul để thảo luận về cách ứng phó với các mối nguy từ Triều Tiên trong không gian mạng, đồng thời tuyên bố một sáng kiến hợp tác ba bên mới, tập trung giải quyết các hoạt động tội phạm mạng và rửa tiền mã hóa do Triều Tiên tiến hành. Cuộc họp diễn ra trong bối cảnh căng thẳng trên Bán đảo Triều Tiên leo thang, khi Triều Tiên đẩy mạnh mở rộng chương trình vũ khí hạt nhân và tên lửa, đồng thời công khai thái độ sẵn sàng sử dụng vũ khí hạt nhân trước tiên.
Các thủ đoạn và mục tiêu tấn công của nhóm hacker Lazarus rất đa dạng, từ các cuộc tấn công mạng SWIFT vào các tổ chức tài chính đến các vụ cướp tiền mã hóa quy mô rộng hơn, đều thể hiện khả năng kỹ thuật cao và mức độ đe dọa nghiêm trọng của tổ chức này. Tuy nhiên, các biện pháp phòng ngừa đối với các cuộc tấn công này vẫn còn khá hạn chế. Kể từ năm 2018, các tin tặc Triều Tiên đã đánh cắp khoảng 2 tỷ USD tiền tệ ảo. Riêng trong năm 2023, họ đã đánh cắp khoảng 200 triệu USD tiền mã hóa, chiếm 20% tổng số tiền bị đánh cắp trong năm đó. Sự tồn tại của các hacker này tạo thành mối đe dọa liên tục đối với hệ sinh thái tiền tệ ảo, đồng thời các phương pháp tấn công mạng của họ ngày càng phát triển và trở nên phức tạp hơn.
Quy mô hoạt động của các nhóm hacker Triều Tiên vượt xa các đối tượng xấu khác tới 10 lần, và họ còn nhắm mục tiêu vào hệ sinh thái tài chính phi tập trung (DeFi). Họ sử dụng nhiều phương pháp tấn công mạng khác nhau, bao gồm lừa đảo (phishing), tấn công chuỗi cung ứng và các hình thức tin tặc khác. Do đó, cả doanh nghiệp lẫn người dùng cá nhân cần tăng cường các biện pháp bảo mật mạng, cập nhật phần mềm thường xuyên, tăng cường chính sách mật khẩu và nâng cao nhận thức về an ninh mạng. Đồng thời, các cơ quan quản lý cũng cần siết chặt giám sát, ban hành các quy định pháp luật nghiêm ngặt hơn để kiềm chế loại hình tội phạm mạng này.
Vụ tấn công thứ nhất: Lazarus lợi dụng lỗ hổng Log4Shell thực hiện chiến dịch Blacksmith (Thợ rèn)
Quá trình và thủ đoạn tấn công:
1. Lợi dụng lỗ hổng Log4Shell: Trước tiên, Lazarus khai thác lỗ hổng Log4Shell – một lỗi thực thi mã từ xa được phát hiện trong thư viện ghi log Log4j. Mặc dù lỗ hổng này đã được phát hiện và vá cách đây hai năm, nhưng nhiều hệ thống vẫn có thể đang chạy phiên bản chưa được sửa chữa, tạo điều kiện cho Lazarus xâm nhập.
2. Triển khai công cụ proxy: Ngay sau khi giành được quyền truy cập ban đầu, Lazarus thiết lập một công cụ proxy để duy trì quyền truy cập lâu dài vào máy chủ bị tấn công. Công cụ này cho phép họ chạy các lệnh do thám, tạo tài khoản quản trị mới và triển khai thêm các công cụ đánh cắp thông tin đăng nhập khác.
3. Triển khai NineRAT: Trong giai đoạn thứ hai, Lazarus triển khai phần mềm độc hại NineRAT lên hệ thống. NineRAT là một Trojan truy cập từ xa, có khả năng thu thập thông tin hệ thống, cập nhật lên phiên bản mới, dừng thực thi, tự gỡ bỏ và tải lên các tệp từ máy tính bị nhiễm. Nó cũng bao gồm một bộ giải nén chịu trách nhiệm thiết lập tính bền vững và khởi chạy tệp nhị phân chính.
4. Sử dụng DLRAT và BottomLoader: Lazarus còn sử dụng DLRAT và BottomLoader. DLRAT là một Trojan và chương trình tải xuống, cho phép Lazarus đưa thêm các tải trọng phụ vào hệ thống bị nhiễm. BottomLoader là một chương trình tải xuống phần mềm độc hại, có thể lấy và thực thi tải trọng từ URL được mã cứng.
5. Đánh cắp thông tin đăng nhập và duy trì kết nối: Sử dụng các công cụ như ProcDump và MimiKatz để sao chép thông tin đăng nhập nhằm thu thập thêm dữ liệu hệ thống. Đồng thời, bằng cách tạo tệp URL trong thư mục khởi động của hệ thống, họ duy trì sự tồn tại của tải trọng mới hoặc gỡ bỏ nó.
Liên kết tham khảo: https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html https://nvd.nist.gov/vuln/detail/cve-2021-44228
Vụ tấn công thứ hai: Nhóm hacker Lazarus sử dụng phần mềm MagicLine4NX thực hiện tấn công chuỗi cung ứng
Quá trình tấn công:
1. Tấn công website bị nhiễm (watering hole): Nhóm hacker Lazarus xâm nhập vào các trang web thường được người dùng mục tiêu truy cập và chèn mã kịch bản độc hại vào đó. Khi người dùng sử dụng phần mềm xác thực MagicLine4NX truy cập các trang web này, mã nhúng sẽ được thực thi, cho phép hacker hoàn toàn kiểm soát hệ thống.
2. Khai thác lỗ hổng hệ thống để phát tán mã độc: Hacker lợi dụng lỗ hổng zero-day trong phần mềm MagicLine4NX, buộc các máy tính cá nhân kết nối mạng phải truy cập máy chủ internet của chúng. Sau đó, họ sử dụng chức năng đồng bộ dữ liệu để lan truyền mã độc sang các máy chủ nghiệp vụ.
3. Cố gắng chuyển dữ liệu: Phần mềm độc hại cố gắng thiết lập kết nối với hai máy chủ C2, một nằm trong cổng hệ thống mạng, máy còn lại nằm ngoài internet. Nếu kết nối thành công, lượng lớn thông tin mạng nội bộ có thể bị rò rỉ.
Thủ đoạn kỹ thuật:
1. Khai thác lỗ hổng zero-day: Hacker lợi dụng lỗ hổng zero-day trong phần mềm MagicLine4NX – một lỗ hổng chưa được công bố rộng rãi – để truy cập trái phép vào hệ thống mục tiêu.
2. Tấn công chuỗi cung ứng: Bằng cách khai thác lỗ hổng trong chuỗi cung ứng, hacker có thể vượt qua các biện pháp an ninh thông thường và trực tiếp tấn công hệ thống mục tiêu.
3. Đồng bộ dữ liệu và kết nối với máy chủ C2: Hacker sử dụng chức năng đồng bộ dữ liệu để phát tán mã độc sang máy chủ nghiệp vụ, đồng thời cố gắng thiết lập kết nối với máy chủ C2 bên ngoài nhằm tiếp tục kiểm soát và đánh cắp dữ liệu.
Liên kết tham khảo: https://www.zerofox.com/advisories/22471/ https://nvd.nist.gov/vuln/detail/CVE-2023-45797
Vụ tấn công thứ ba: Tấn công vào tiền mã hóa
Mục tiêu: Sàn giao dịch tiền mã hóa, ví, hệ sinh thái tài chính phi tập trung (DeFi)
Thời gian tấn công: Từ năm 2018 đến nay, đặc biệt là năm 2023
Quá trình và thủ đoạn kỹ thuật:
1. Lợi dụng lỗ hổng và khóa riêng tư bị rò rỉ: Các hacker Triều Tiên sử dụng các cuộc tấn công lừa đảo (phishing) và tấn công chuỗi cung ứng để đánh cắp khóa riêng hoặc cụm từ khôi phục (seed phrase) bị rò rỉ nhằm xâm nhập vào mục tiêu.
2. Tấn công跨链 (xuyên chuỗi): Họ đặc biệt nhắm vào các cầu nối跨链 (cross-chain bridge), chẳng hạn như cầu Ronin của Axie Infinity, nhằm đánh cắp lượng lớn tiền tệ ảo.
Quy trình rửa tiền nhiều giai đoạn: Các hacker Triều Tiên trước đây đã từng sử dụng quy trình "rửa tiền nhiều giai đoạn phức tạp" để làm rối loạn nguồn gốc và lộ trình dòng tiền. Họ chuyển đổi tiền tệ ảo bị đánh cắp sang các loại token khác nhau, sau đó sử dụng các chương trình tự động, mixer (trộn tiền) và các giao dịch跨链 để trộn lẫn và hoán đổi nhiều lần, làm tăng độ khó trong việc truy vết.
3. Tận dụng các sàn giao dịch phi tập trung: Họ chuyển đổi tiền mã hóa bị đánh cắp thành Ethereum thông qua các sàn giao dịch phi tập trung, rồi tiếp tục thực hiện nhiều lần trộn và hoán đổi.
Từ các trường hợp trên, có thể thấy kẻ tấn công có thể đánh cắp dữ liệu nhạy cảm, bao gồm thông tin kinh doanh bí mật, dữ liệu khách hàng và thông tin nhận dạng cá nhân, dẫn đến rò rỉ quyền riêng tư và các hậu quả pháp lý tiềm tàng. Vì hacker có thể hoàn toàn kiểm soát hệ thống mục tiêu, họ có thể thu thập được lượng lớn thông tin nhạy cảm, bao gồm dữ liệu nội bộ doanh nghiệp, hồ sơ khách hàng... Các chiến dịch tin tặc của Lazarus không chỉ gây rò rỉ dữ liệu và hư hại hệ thống cho tổ chức bị hại, mà còn có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của nạn nhân.
Các cuộc tấn công này thường liên quan đến các cuộc tấn công chuỗi cung ứng phức tạp, khiến việc phòng ngừa và phát hiện trở nên khó khăn hơn. Chúng có thể dẫn đến tổn thất tài chính, bao gồm chi phí loại bỏ phần mềm độc hại, khôi phục dữ liệu, sửa chữa hệ thống và mất doanh thu do gián đoạn hoạt động kinh doanh. Cuộc tấn công của hacker đã khiến lượng lớn tiền mã hóa bị đánh cắp, không chỉ gây thiệt hại tài chính cho nạn nhân mà còn có thể làm lộ thông tin cá nhân và dữ liệu giao dịch của họ. Việc tấn công vào các cầu nối跨链 có thể dẫn đến sụp đổ toàn bộ hệ thống, ảnh hưởng đến việc giao dịch bình thường.
Để đối phó với các mối đe dọa an ninh như vậy, các tổ chức nên thực hiện các biện pháp phòng ngừa sau
1. Sửa chữa lỗ hổng kịp thời: Đảm bảo cập nhật bản vá an ninh ngay lập tức để khắc phục các lỗ hổng đã biết. Đặc biệt đối với các phần mềm và thành phần được sử dụng trong chuỗi cung ứng, có thể sử dụng chức năng kiểm toán tự động MetaScan để kịp thời phát hiện và sửa chữa các lỗ hổng tiềm ẩn.
2. Tăng cường an ninh chuỗi cung ứng: Thiết lập mối quan hệ hợp tác an toàn với các đối tác trong chuỗi cung ứng, kiểm tra và xác minh phần mềm, thành phần để đảm bảo mọi khâu trong chuỗi cung ứng đều không bị tấn công. Với chức năng giám sát của MetaScout, có thể cập nhật động danh sách đen, ngăn chặn các cuộc tấn công từ các địa chỉ tin tặc Triều Tiên tiềm tàng.
3. Đào tạo nâng cao nhận thức an ninh: Tăng cường đào tạo nhận thức an ninh cho nhân viên. Giáo dục nhân viên cảnh giác trước các cuộc tấn công watering hole, mã kịch bản độc hại và tầm quan trọng của an ninh chuỗi cung ứng nhằm giảm thiểu ảnh hưởng của yếu tố con người đến an ninh. Giải pháp DevSecOps của Scantist có thể cung cấp cho tổ chức chương trình đào tạo và hướng dẫn an ninh toàn diện.
4. Giám sát lưu lượng mạng: Triển khai giám sát lưu lượng mạng và hệ thống phát hiện xâm nhập (IDS/IPS) để kịp thời phát hiện các hoạt động bất thường và hành vi tấn công. Cơ chế chặn tấn công của MetaScout có thể kết hợp với giám sát lưu lượng mạng để nhận diện và ngăn chặn kịp thời các giao dịch tấn công của hacker.
5. Phòng thủ đa lớp: Áp dụng các biện pháp phòng thủ đa lớp, bao gồm tường lửa, hệ thống phát hiện xâm nhập, phần mềm diệt virus,... nhằm nâng cao mức độ an toàn cho hệ thống. Chức năng Prover của MetaScan có thể phối hợp với các công cụ và biện pháp an ninh hiện có để hình thành hệ thống phòng thủ toàn diện hơn.
6. Giám sát và phản hồi liên tục: Xây dựng cơ chế giám sát và phản hồi an ninh, thông qua việc theo dõi thời gian thực các hoạt động mạng và hệ thống, kịp thời phát hiện hành vi bất thường và thực hiện các biện pháp phản hồi phù hợp nhằm giảm thiểu tối đa thiệt hại do tấn công gây ra. Chức năng phân tích thành phần của Scantist có thể liên tục giám sát các lỗ hổng trong chuỗi cung ứng phần mềm và kịp thời chặn các thành phần mã nguồn mở và bên thứ ba có vấn đề.
7. Tăng cường các biện pháp an ninh cho sàn giao dịch và ví tiền mã hóa: Các sàn giao dịch và ví tiền mã hóa cần tăng cường các biện pháp an ninh như sử dụng mật khẩu mạnh, thay đổi khóa riêng thường xuyên, áp dụng chiến lược an ninh nhiều lớp,... Cơ chế chặn của MetaScout có thể cung cấp lớp bảo vệ chặn tấn công dựa trên danh sách đen động cho các sàn giao dịch tiền mã hóa, đảm bảo an toàn tài sản số của người dùng.
8. Kiểm toán và kiểm tra định kỳ: Các tổ chức nên định kỳ kiểm toán và rà soát hệ thống để đảm bảo không tồn tại các lỗ hổng an ninh tiềm ẩn. Chức năng kiểm toán tự động của MetaScan có thể giúp tổ chức thực hiện đánh giá an ninh toàn diện và kịp thời phát hiện các lỗ hổng và rủi ro tiềm tàng.
9. Nâng cao nhận thức cộng đồng: Giáo dục công chúng về tầm quan trọng của an ninh mạng, giúp họ hiểu cách bảo vệ tài sản số của mình. Các tổ chức có thể nâng cao nhận thức của công chúng về an ninh mạng thông qua các chiến dịch truyền thông, mạng xã hội,... đồng thời cung cấp các lời khuyên và hướng dẫn an toàn liên quan.
Lưu ý rằng các mối đe dọa an ninh và các đề xuất phòng ngừa cần được đánh giá và tùy chỉnh dựa trên tình hình thực tế và thông tin an ninh mới nhất. Ngoài ra, sao lưu và khôi phục dữ liệu định kỳ, sử dụng mật khẩu mạnh và xác thực đa yếu tố, hạn chế quyền truy cập đặc quyền,... cũng là những biện pháp hiệu quả để nâng cao mức độ an toàn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












