Tác giả: samczsun, đối tác nghiên cứu tại Paradigm
Biên dịch: Bright, Foresight News
Vào một buổi sáng tháng Hai, đèn trong nhóm SEAL 911 bật sáng. Chúng tôi bối rối khi chứng kiến Bybit rút hơn 1 tỷ đô la tiền mã hóa từ ví lạnh của họ đến một địa chỉ hoàn toàn mới, rồi nhanh chóng bắt đầu thanh lý hơn 200 triệu đô la tài sản thế chấp dài hạn (LST). Trong vài phút, từ Bybit và các phân tích độc lập (đa chữ ký — trước đây sử dụng triển khai Safe Wallet đã được xác minh công khai, giờ dùng hợp đồng mới triển khai chưa được xác minh), chúng tôi xác nhận rằng đây thực sự không phải bảo trì định kỳ. Một kẻ tấn công vừa phát động vụ hack lớn nhất trong lịch sử tiền mã hóa, và chúng tôi đang ngồi ở hàng ghế đầu chứng kiến toàn bộ sự kiện.
Trong khi một phần nhóm (và cộng đồng điều tra rộng hơn) bắt đầu truy vết dòng tiền và gửi thông báo tới các sàn giao dịch hợp tác, thì những thành viên khác trong nhóm cố gắng tìm hiểu chuyện gì vừa xảy ra và liệu còn có nguồn vốn nào đang gặp nguy hiểm hay không. May mắn thay, việc xác định thủ phạm khá dễ dàng. Trong vài năm qua, chỉ có duy nhất một mối đe dọa đã thành công trong việc đánh cắp hàng tỷ đô la từ các sàn giao dịch tiền mã hóa: Triều Tiên, còn gọi là DPRK.
Tuy nhiên, ngoài điều này, chúng tôi gần như không có thêm manh mối nào. Do bản chất tinh vi và kỹ năng che giấu danh tính bậc thầy của tin tặc Triều Tiên, không chỉ khó xác định nguyên nhân gốc rễ của cuộc xâm nhập, mà thậm chí còn khó biết chính xác đội ngũ cụ thể nào trong Triều Tiên chịu trách nhiệm. Thứ duy nhất chúng tôi có thể dựa vào là thông tin tình báo sẵn có cho thấy Triều Tiên thích sử dụng kỹ thuật xã hội để xâm nhập vào các sàn giao dịch tiền mã hóa. Vì vậy, ban đầu chúng tôi phỏng đoán rằng Triều Tiên đã xâm nhập vào người ký đa chữ ký của Bybit, sau đó triển khai phần mềm độc hại để can thiệp vào quy trình ký kết.
Hóa ra, phỏng đoán này hoàn toàn sai lầm. Vài ngày sau, chúng tôi phát hiện ra rằng thực tế Triều Tiên đã phá hoại cơ sở hạ tầng của chính Safe Wallet, và triển khai một tải độc hại chuyên biệt nhắm vào Bybit. Mức độ phức tạp này vượt xa mọi kịch bản mà bất kỳ ai từng nghĩ đến hoặc chuẩn bị, đặt ra thách thức lớn đối với nhiều mô hình an ninh hiện có trên thị trường.
Các tin tặc Triều Tiên đang trở thành mối đe dọa ngày càng nghiêm trọng đối với ngành của chúng ta, và chúng ta không thể đánh bại một kẻ thù mà mình không hiểu rõ. Dù có rất nhiều sự kiện và bài viết ghi chép về các hoạt động mạng của Triều Tiên, nhưng việc ghép nối chúng lại thành một bức tranh toàn cảnh vẫn rất khó khăn. Tôi hy vọng bản tổng quan này sẽ giúp mọi người hiểu sâu sắc hơn về cách thức hoạt động, cũng như chiến lược và quy trình của Triều Tiên, từ đó giúp chúng ta dễ dàng triển khai các biện pháp phòng ngừa phù hợp hơn.
Cơ cấu tổ chức
Một trong những hiểu lầm lớn nhất cần làm rõ là cách phân loại và đặt tên cho khối lượng lớn các hoạt động mạng của Triều Tiên. Mặc dù việc dùng từ "Lazarus Group" một cách phổ thông để chỉ chung là chấp nhận được, nhưng khi thảo luận chi tiết về các mối đe dọa mạng hệ thống của Triều Tiên, thì nên sử dụng thuật ngữ chính xác hơn.
Đầu tiên, cần hiểu rõ "sơ đồ tổ chức" của Triều Tiên. Tầng cao nhất là Đảng Lao động Triều Tiên (WPK) – đảng cầm quyền duy nhất, dưới sự lãnh đạo của WPK là tất cả các cơ quan chính phủ Triều Tiên. Bao gồm Quân đội Nhân dân Triều Tiên (KPA) và Ủy ban Trung ương. Trong KPA có Tổng tham mưu bộ (GSD), nơi đặt trụ sở Tổng cục Tình báo (RGB). Dưới Ủy ban Trung ương là Bộ Công nghiệp Quân nhu (MID).
RGB chịu trách nhiệm cho hầu hết các hoạt động chiến tranh mạng của Triều Tiên, bao gồm gần như tất cả các hành động do Triều Tiên thực hiện trong ngành tiền mã hóa. Ngoài Lazarus Group nổi tiếng, các nhóm đe dọa khác xuất hiện trong RGB bao gồm AppleJeus, APT38, DangerousPassword và TraderTraitor. Trong khi đó, MID phụ trách chương trình tên lửa hạt nhân của Triều Tiên, đồng thời là nguồn cung cấp chính cho lực lượng IT của Triều Tiên; giới tình báo gọi các nhóm này là Contagious Interview và Wagemole.
Lazarus Group
Lazarus Group là một tổ chức tin tặc cực kỳ tinh vi. Các chuyên gia an ninh mạng tin rằng tổ chức này đứng sau một số vụ tấn công lớn nhất và tàn phá nhất trong lịch sử. Năm 2016, Novetta lần đầu tiên phát hiện ra Lazarus Group khi phân tích vụ hack Sony Pictures Entertainment (Sony).
Năm 2014, Sony đang sản xuất bộ phim hài hành động The Interview, nội dung chính là Kim Jong-un bị sỉ nhục và sau đó bị ám sát. Điều này hiển nhiên không được chế độ Triều Tiên chào đón. Triều Tiên đã trả đũa bằng cách xâm nhập vào mạng của Sony, đánh cắp hàng terabyte dữ liệu, rò rỉ hàng trăm gigabyte thông tin mật hoặc nhạy cảm, đồng thời xóa bỏ các bản gốc. Như CEO lúc đó Michael Lynton từng nói: "Kẻ làm việc này không chỉ lấy sạch mọi thứ trong nhà, mà còn đốt cháy cả ngôi nhà". Cuối cùng, chi phí điều tra và khắc phục hậu quả cho Sony trong vụ tấn công này ít nhất là 15 triệu đô la, và thiệt hại thực tế có thể còn cao hơn.
Sau đó vào năm 2016, một nhóm tin tặc cực kỳ giống Lazarus Group đã xâm nhập vào Ngân hàng Bangladesh nhằm đánh cắp gần 1 tỷ đô la. Trong suốt một năm, các tin tặc tiến hành kỹ thuật xã hội đối với nhân viên ngân hàng, cuối cùng giành được quyền truy cập từ xa và di chuyển bên trong mạng nội bộ, cho đến khi tiếp cận máy tính quản lý giao tiếp với mạng SWIFT. Từ đó, họ chờ đợi thời điểm lý tưởng: Ngân hàng Bangladesh nghỉ cuối tuần vào thứ Năm, trong khi Cục Dự trữ Liên bang New York nghỉ vào thứ Sáu. Vào đêm thứ Năm theo giờ địa phương Bangladesh, các tác nhân đe dọa đã sử dụng quyền truy cập vào mạng SWIFT để gửi 36 yêu cầu chuyển tiền riêng biệt đến Cục Dự trữ Liên bang New York – lúc đó là sáng thứ Năm theo giờ địa phương. Trong vòng 24 giờ tiếp theo, Cục Dự trữ Liên bang New York đã chuyển tiếp các giao dịch này sang Ngân hàng Rizal (RCBC) tại Philippines, nơi bắt đầu xử lý. Khi Ngân hàng Bangladesh mở cửa trở lại, họ phát hiện vụ tấn công và cố gắng thông báo cho RCBC dừng các giao dịch đang diễn ra, nhưng phát hiện RCBC đã đóng cửa vì lễ Tết Âm lịch.
Sau cùng, vào năm 2017, cuộc tấn công ransomware quy mô lớn WannaCry 2.0 đã tàn phá các ngành công nghiệp khắp thế giới, và một phần được cho là do Lazarus Group gây ra. Ước tính WannaCry đã gây thiệt hại hàng tỷ đô la, khai thác một lỗ hổng 0day trên Microsoft Windows do NSA phát triển ban đầu. Nó không chỉ mã hóa thiết bị cục bộ mà còn tự lan truyền sang các thiết bị khả dụng khác, cuối cùng lây nhiễm hàng trăm nghìn thiết bị toàn cầu. May mắn thay, nhờ nhà nghiên cứu an ninh Marcus Hutchins phát hiện và kích hoạt công tắc tắt (kill switch) trong vòng tám giờ, thiệt hại đã được hạn chế ở mức độ nhất định.
Xuyên suốt quá trình phát triển của Lazarus Group, họ thể hiện năng lực kỹ thuật và thực thi cực kỳ cao, và một trong những mục tiêu của họ là tạo thu nhập cho chế độ Triều Tiên. Vì vậy, việc họ chuyển sự chú ý sang ngành tiền mã hóa chỉ là vấn đề thời gian.
Các nhóm con
Theo thời gian, khi Lazarus Group trở thành thuật ngữ đại diện phổ biến trong truyền thông khi nói về các hoạt động mạng của Triều Tiên, ngành an ninh mạng đã tạo ra các tên gọi chính xác hơn cho các hoạt động cụ thể. APT38 là một ví dụ, tách ra từ Lazarus Group khoảng năm 2016, tập trung vào tội phạm tài chính, ban đầu nhắm vào các ngân hàng (như Ngân hàng Bangladesh), sau đó chuyển sang tiền mã hóa. Sau đó vào năm 2018, một mối đe dọa mới mang tên AppleJeus được phát hiện đang phát tán phần mềm độc hại nhắm vào người dùng tiền mã hóa. Cuối cùng, cũng từ năm 2018, khi OFAC lần đầu tiên áp lệnh trừng phạt lên hai công ty vỏ bọc do người Triều Tiên sử dụng, thì những người Triều Tiên giả dạng kỹ sư IT đã bắt đầu xâm nhập vào ngành công nghệ.
Kỹ sư IT Triều Tiên
Mặc dù lần đầu tiên được ghi nhận vào năm 2018 qua lệnh trừng phạt của OFAC, báo cáo năm 2023 của Unit 42 đã làm rõ chi tiết hơn và xác định hai nhóm đe dọa khác nhau: Contagious Interview và Wagemole.
Theo ghi nhận, Contagious Interview giả dạng nhân viên tuyển dụng từ các công ty nổi tiếng, lừa các lập trình viên tham gia quy trình phỏng vấn giả mạo. Sau đó, ứng viên tiềm năng bị yêu cầu sao chép một kho lưu trữ (repository) về để gỡ lỗi cục bộ, trên danh nghĩa là bài kiểm tra lập trình, nhưng thực tế kho lưu trữ này chứa phần mềm độc hại. Khi chạy, phần mềm độc hại sẽ trao quyền kiểm soát máy bị ảnh hưởng cho kẻ tấn công. Chiến dịch này vẫn đang tiếp diễn, lần ghi nhận gần nhất là ngày 11 tháng 8 năm 2024.
Mặt khác, mục tiêu chính của đặc vụ Wagemole không phải là tuyển dụng nạn nhân tiềm năng, mà là tự xin việc vào các công ty, nơi họ làm việc như các kỹ sư bình thường, dù hiệu suất có thể không cao. Tuy nhiên, đã có ghi nhận về các kỹ sư IT lợi dụng quyền truy cập để tấn công, ví dụ như trong sự kiện Munchables, một nhân viên liên quan đến hoạt động Triều Tiên đã lợi dụng quyền truy cập đặc quyền vào hợp đồng thông minh để đánh cắp toàn bộ tài sản.
Mức độ tinh vi của đặc vụ Wagemole rất khác nhau, từ việc sử dụng mẫu sơ yếu lý lịch khuôn mẫu và từ chối tham gia phỏng vấn video, đến việc tạo hồ sơ được cá nhân hóa cao, phỏng vấn video deepfake, và cung cấp giấy tờ tùy thân như bằng lái xe hay hóa đơn điện nước. Trong một số trường hợp, các đặc vụ ẩn nấp trong tổ chức nạn nhân đến tận một năm trước khi lợi dụng quyền truy cập để xâm nhập các hệ thống khác và/hoặc rút toàn bộ tài sản.
AppleJeus
AppleJeus chủ yếu tập trung vào việc phát tán phần mềm độc hại, chuyên thực hiện các cuộc tấn công chuỗi cung ứng phức tạp. Năm 2023, vụ tấn công chuỗi cung ứng 3CX khiến hơn 12 triệu người dùng phần mềm VoIP 3CX có nguy cơ bị lây nhiễm, nhưng sau đó phát hiện chính 3CX cũng bị tấn công thông qua nhà cung cấp thượng nguồn Trading Technologies.
Trong ngành tiền mã hóa, ban đầu AppleJeus phát tán phần mềm độc hại dưới dạng các phần mềm hợp pháp như phần mềm giao dịch hoặc ví tiền mã hóa. Tuy nhiên, theo thời gian, chiến lược của họ đã thay đổi. Tháng 10 năm 2024, Radiant Capital bị xâm nhập bởi một tác nhân đe dọa giả danh nhà thầu đáng tin cậy, gửi phần mềm độc hại qua Telegram, Mandiant xác định thủ phạm là AppleJeus.
Dangerous Password
Dangerous Password chịu trách nhiệm các cuộc tấn công kỹ thuật xã hội mức độ thấp trong ngành tiền mã hóa. Ngay từ năm 2019, JPCERT/CC đã ghi nhận Dangerous Password gửi email lừa đảo kèm tệp đính kèm hấp dẫn để người dùng tải về. Những năm trước, Dangerous Password từng giả danh các nhân vật nổi bật trong ngành gửi email với chủ đề "Ổn định tiền tệ và tài sản mã hóa tiềm ẩn rủi ro rất lớn".
Hiện nay, Dangerous Password vẫn tiếp tục gửi email lừa đảo, nhưng đã mở rộng sang các nền tảng khác. Ví dụ, Radiant Capital báo cáo rằng họ nhận được tin nhắn lừa đảo qua Telegram từ một người giả danh nhà nghiên cứu an ninh, phân phát tệp tên "Penpie_Hacking_Analysis_Report.zip". Ngoài ra, người dùng báo cáo rằng có người giả danh nhà báo và nhà đầu tư liên hệ họ, yêu cầu sắp xếp cuộc gọi qua một ứng dụng hội nghị video vô danh. Giống Zoom, các ứng dụng này sẽ tải xuống một chương trình cài đặt tạm thời, nhưng khi chạy sẽ cài phần mềm độc hại lên thiết bị.
TraderTraitor
TraderTraitor là nhóm tin tặc Triều Tiên tinh vi nhất nhắm vào ngành tiền mã hóa, và đã thực hiện các vụ hack nổi bật như Axie Infinity và Rain.com. TraderTraitor gần như chỉ nhắm vào các sàn giao dịch và công ty khác có dự trữ lớn, và thay vì sử dụng lỗ hổng zero-day, họ sử dụng các kỹ thuật phishing tinh vi cao để tấn công nạn nhân. Trong vụ hack Axie Infinity, TraderTraitor liên hệ một kỹ sư cấp cao qua LinkedIn, thuyết phục họ tham gia một loạt buổi phỏng vấn, sau đó gửi một "đề xuất" để gài phần mềm độc hại. Sau đó, trong vụ hack WazirX, đặc vụ TraderTraitor đã phá hoại một thành phần chưa xác định trong chuỗi ký kết, rồi thực hiện liên tiếp các giao dịch gửi và rút tiền để làm cạn ví nóng của sàn, buộc kỹ sư WazirX phải tái cân bằng từ ví lạnh sang ví nóng. Khi kỹ sư WazirX cố gắng ký giao dịch chuyển tiền, họ bị lừa ký vào một giao dịch chuyển quyền kiểm soát ví lạnh sang TraderTraitor. Điều này rất giống với vụ tấn công Bybit vào tháng 2 năm 2025, khi TraderTraitor đầu tiên xâm nhập cơ sở hạ tầng Safe{Wallet} thông qua kỹ thuật xã hội, sau đó triển khai mã JavaScript độc hại vào giao diện người dùng Safe Wallet nhắm riêng vào ví lạnh của Bybit. Khi Bybit thực hiện tái cân bằng ví, mã độc được kích hoạt, khiến các kỹ sư Bybit vô tình ký vào giao dịch chuyển quyền kiểm soát ví lạnh cho TraderTraitor.
Giữ an toàn
Triều Tiên đã thể hiện khả năng sử dụng lỗ hổng zero-day chống lại đối thủ, nhưng hiện tại chưa có ghi nhận hay sự kiện nào cho thấy họ đã triển khai lỗ hổng zero-day vào ngành tiền mã hóa. Do đó, đối với hầu hết các mối đe dọa từ tin tặc Triều Tiên, các khuyến nghị an ninh điển hình đều áp dụng được.
Đối với cá nhân, hãy vận dụng tư duy thông thường và cảnh giác trước các hình thức kỹ thuật xã hội. Ví dụ, nếu ai đó tuyên bố nắm giữ thông tin mật cao và sẵn sàng chia sẻ với bạn, hãy thận trọng. Hoặc nếu ai đó gây áp lực thời gian, yêu cầu bạn tải và chạy phần mềm nào đó, hãy cân nhắc xem họ có đang cố gắng đưa bạn vào trạng thái không thể suy luận logic hay không.
Đối với tổ chức, hãy áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) càng nhiều càng tốt. Hạn chế số lượng người có quyền truy cập vào các hệ thống nhạy cảm, đảm bảo họ sử dụng trình quản lý mật khẩu và xác thực hai yếu tố (2FA). Giữ thiết bị cá nhân và thiết bị làm việc tách biệt, cài đặt phần mềm Quản lý thiết bị di động (MDM) và Phát hiện & Phản hồi đầu cuối (EDR) trên thiết bị làm việc để đảm bảo an toàn trước và khả năng quan sát sau khi bị xâm nhập.
Tuy nhiên, đối với các sàn giao dịch lớn hay các mục tiêu giá trị cao khác, TraderTraitor có thể gây thiệt hại vượt mong đợi ngay cả khi không cần đến lỗ hổng zero-day. Vì vậy, cần thực hiện các biện pháp phòng ngừa bổ sung, đảm bảo không tồn tại điểm thất bại đơn lẻ (single point of failure), để tránh mất toàn bộ tài sản chỉ sau một lần xâm nhập.
Tuy nhiên, ngay cả khi mọi thứ đều thất bại, vẫn còn hy vọng. Cục Điều tra Liên bang (FBI) có một bộ phận chuyên theo dõi và ngăn chặn xâm nhập từ Triều Tiên, trong nhiều năm qua đã thực hiện thông báo cho nạn nhân. Gần đây, tôi rất vui khi có thể hỗ trợ các đặc vụ của bộ phận này liên hệ với các mục tiêu tiềm năng của Triều Tiên. Vì vậy, để chuẩn bị cho kịch bản xấu nhất, hãy đảm bảo bạn có thông tin liên lạc công khai, hoặc có đủ mối quan hệ trong hệ sinh thái (ví dụ như SEAL 911), để thông điệp có thể nhanh chóng đến tay bạn thông qua mạng lưới quan hệ xã hội.
Paradigm
