Tóm tắt bài viết

  • Tin tặc Triều Tiên đánh cắp dữ liệu từ nhiều tổ chức trên thế giới, trong đó có Việt Nam, Nhật Bản và Trung Đông.
  • Lượng của cải phi pháp được Triều Tiên bị nghi ngờ phục vụ chương trình vũ khí tên lửa và hạt nhân.
  • Chuyên gia cho biết Triều Tiên thiết lập các công ty gián điệp tại các nước như Việt Nam và Malaysia.

Trong khi thế giới đang đón chờ cuộc họp chưa từng có giữa Tổng thống Mỹ Donald Trump và lãnh đạo Triều Tiên Kim Jong Un về khả năng phi hạt nhân hóa, báo Nikkei của Nhật Bản sáng nay (15/3) công bố những thông tin mới nhất về binh đoàn gián điệp mạng và các cơ sở gián điệp của Bình Nhưỡng tại Đông Nam Á, trong đó có Việt Nam.

FireEye, một công ty tư vấn an ninh thông tin của Hoa Kỳ, đã nhận diện một nhóm binh đoàn gián điệp mạng đáng ngờ của Triều Tiên có tên gọi là “Reaper”.

Gián điệp mạng của Kim Jong Un tốt đến cỡ nào?

Theo FireEye, từ năm 2014 đến 2017, binh đoàn gián điệp mạng Reaper chủ yếu theo đuổi các mục tiêu tại Hàn Quốc, bao gồm chính phủ, quân đội, công nghiệp quốc phòng và truyền thông. Nhưng trong năm 2017, nhóm gián điệp này đã mở rộng phạm vi hoạt động, xây dựng các phần mềm độc hại và lấy cắp thông tin từ các mục tiêu tại Nhật Bản, Việt Nam và Trung Đông.

“Reaper hiện đang ở Nhật Bản”, ông Ben Read – giám đốc phụ trách về không gian mạng tại FireEye cho biểt khi trả lời phỏng vấn của tờ Nikkei.

Năm ngoái, FireEye đã tìm thấy một dữ liệu bị Reaper lấy cắp từ một cơ quan tại Nhật Bản liên quan đến các lệnh trừng phạt của Liên Hợp Quốc. “Tài liệu được viết bằng tiếng Nhật”, ông Read cho biết.

Binh đoàn mạng Reaper đã lưu trữ các tài liệu bị đánh cắp trên một máy chủ của bên thứ 3, khiến cho việc lần tìm dấu vết trở nên khó khăn. FireEye đã mất gần một năm để xác định được nhóm này có liên kết với Triều Tiên.

Qua việc theo dõi chặt chẽ thời gian dịch mã của phần mềm độc hại từ Reaper, FireEye phát hiện múi giờ hoạt động của nó phù hợp với múi giờ của Triều Tiên, thường từ 10 giờ sáng cho đến 7 giờ tối.

Thêm vào đó, một cá nhân được tin là người phát triển phần mềm này “đã vô tình để lộ thông tin cá nhân, cho thấy người này hoạt động với một địa chỉ IP và điểm truy cập có liên quan đến Triều Tiên”, FireEye cho biết trong một báo cáo vào tháng Hai.

Ông Kim Heung-kwang, một người đào thoát Triều Tiên hiện đứng đầu một tổ chức phi lợi nhuận tại Seoul (Ảnh: Nikkei)

Tin tặc Triều Tiên đánh cắp tiền cho hoạt động phát triển vũ khí và hạt nhân?

Các tài khoản hoạt động của Reaper chỉ chiếm một phần nhỏ trong số tất cả các hoạt động của binh đoàn gián điệp được tài trợ bởi Triều Tiên. Theo các cơ quan tình báo và các cơ quan tư vấn an ninh thông tin từ nhiều quốc gia, các tin tặc Triều Tiên đã đánh cắp từ các tổ chức tài chính hoặc đòi các cuộc đổi chác tiền ảo trên khắp thế giới.

Liệu số của cải phi pháp này có đóng một vai trò lớn trong quỹ phát triển chương trình hạt nhân và tên lửa của Bình Nhưỡng?

Thông tin này ăn khớp với tuyên bố của ông Kim Heung-kwang, một người đào thoát từ Triều Tiên, hiện đứng đầu tổ chức Trí thức Đoàn kết Triều Tiên (North Korea Intellectuals Solidarity) – một tổ chức phi lợi nhuận có trụ sở tại Seoul.

Hoạt động của tin tặc Triều Tiên

Tờ Nikkei đã phỏng vấn ông Kim Heung-kwang vào đầu tháng Hai, vào cùng ngày với ngày diễu hành quân sự được tổ chức tại Bình Nhưỡng nhân kỷ niệm 70 năm ngày thành lập quân đội.

Cuộc phỏng vấn đã diễn ra tại văn phòng của ông Kim Heung-kwang và có một vệ sĩ là “một thám tử từ cơ quan chính sách Hàn Quốc”, ông Kim cho biết.

Bởi ông Kim Heung-kwang đã biết “quá nhiều” về lực lượng không gian mạng của Triều Tiên, điều này khiến ông phải cân nhắc sự an toàn tính mạng của mình trước những sát thủ Bình Nhưỡng. Vì vậy, một sĩ quan của Hàn Quốc luôn ở bên cạnh ông Kim mọi nơi mọi lúc.

Trước khi rời Triều Tiên vào đầu những năm 2000, ông Kim là một giáo viên khoa học máy tính tại một trường đại học ở Triều Tiên. Nhiều sinh viên của ông đã tham gia Tổng cục trinh sát (Reconnaissance General Bureau), một cơ quan tình báo quân đội. Ông Kim vẫn có mối liên lạc với quê nhà.

Ông Kim được biết đến rộng rãi trong số các chuyên gia an ninh thông tin ở nhiều nước. Thông tin của ông có giá trị và ông đã được trích dẫn trong nhiều báo cáo về khả năng của tin tặc Triều Tiên.

“Tổng cục trinh sát báo cáo trực tiếp tới Kim Jong Un và nó được chia thành sáu phần” ông Kim Heung-kwang cho biết và vẽ một đồ hình kim tự tháp. Nhà lãnh đạo Triều Tiên đứng ở vị trí trên đỉnh kim tự tháp với 6 nhóm tin tặc được phân theo các các cấp thứ tự phía dưới.

Sau khi thành thạo các kỹ thuật lấy cắp thông tin, các tin tặc được giao nhiệm vụ ở Triều Tiên hoặc được gửi tới Trung Quốc, Đông Nam Á hoặc nhiều địa điểm khác ở nước ngoài, với nhiều thân phân khác nhau như công nhân xây dựng, nhân viên kinh doanh hoặc sinh viên.

Đơn vị 121 là lực lượng lớn nhất với sứ mệnh tàn phá cơ sở hạ tầng như truyền thông, vận tải và điện tại các quốc gia không thân thiện với Triều Tiên.

Đơn vị 121 cũng đánh cắp các thông tin từ những nhân vật chủ chốt của các quốc gia. Đội quân này được biết đến rộng rãi trong ngành công nghiệp an ninh thông tin toàn cầu.

Tuy nhiên, ông Kim Heung-kwang cũng đề cập tới một cái tên không quen thuộc – Phòng 180. “Công việc chính của đơn vị 180 là kiếm ngoại tệ để tài trợ cho dự án phát triển “5 loại vũ khí chính”, bao gồm bom hạt nhân, tên lửa đạn đạo tầm xa và tên lửa đạn đạo tàu ngầm”, ông Kim cho biết.

Phòng 180 được thành lập bởi ông Kim Jong Un vào năm 2013, thu hút khoảng 500 thành viên từ đơn vị 121.

Sau khi Kim Jong Un nắm quyền lực từ năm 2011, Triều Tiên đã đẩy nhanh tốc độ thử nghiệm hạt nhân và tên lửa. Chương trình vũ khí của Triều Tiên càng tiến triển nhanh thì Bình Nhưỡng càng đối mặt với các biện pháp trừng phạt quốc tế chặt chẽ hơn. Các nguồn vốn nước ngoài đổ vào đất nước này đã hao mòn, vì vậy Kim Jong Un đã thiết lập một đơn vị đặc nhiệm để có được ngoại tệ.

Vào tháng 2 năm 2016, các tin tặc đã lấy cắp 81 triệu USD từ hệ thống chuyển tiền của ngân hàng trung ương Bangladesh, các tổ chức tài chính tại Philippines, Việt Nam, Ecuador và Đài Loan cũng bị lọt vào tầm ngắm của các tin tặc.

Ngân hàng Trung ương Bangladesh tại Dhaka (Ảnh: Reuters)

Nhận định chuyên gia

Theo đánh giá về loại hình virus và phương pháp, các chuyên gia an ninh tin rằng hoạt động tin tặc này được thực hiện bởi Lazarus – một nhóm tin tặc liên quan tới Triều Tiên.

Ông Choi Sang-myung, giám đốc Hauri – cơ quan tư vấn an ninh thông tin Hàn Quốc – cho biết, các chương trình virus chứa các ký tự Hangul, bao gồm các biểu hiện riêng biệt của Triều Tiên.

Nhóm tin tặc Lazarus được chia làm ít nhất 2 nhóm, một nhóm được chỉ định nhằm mục tiêu tấn công Hàn Quốc, trong khi nhóm còn lại tấn công các quốc gia khác, theo ông Park Seong-su, nhà nghiên cứu thuộc Kaspersky tại Hàn Quốc.

Nhiều chuyên gia bảo mật đang lần tìm dấu vết của nhóm Lazarus.

Ông Kim Heung-kwang nói rằng nhóm Lazarus là một phần của Đơn vị 180. Trong khi đó, một cựu chuyên gia về xung đột thông tin mạng tại tổ chức tình báo của Anh thì cho rằng Đơn vị 180 không phải là Lazarus.

Dù vậy, trong bất kỳ trường hợp nào, hai chuyên gia đều đồng ý rằng sứ mệnh của nhóm Lazarus là đạt được ngoại tệ. Nhiều vụ tấn công mạng đã diễn ra trên toàn thế giới trong những năm gần đây nhằm tài trợ cho các chương trình vũ khí của Triều Tiên.

Thị trường chính của Đơn vị 180 là Nhật Bản và Trung Quốc, vì sự gần gũi về địa lý và tương đồng về văn hóa.

Cách thức phát tán phần mềm gián điệp và gắn mã độc

Đơn vị này xử lý các đơn hàng có được từ các nhóm ủng hộ Triều Tiên có trụ sở tại các quốc gia sở tại. Những nhóm trung gian này hoạt động ẩn danh, giả vờ không có quan hệ với Triều Tiên, và thu hút nhiều đơn hàng vì chi phí thấp. Đơn vị 180 phát triển các phần mềm cho các thiết bị gia dụng và máy móc công nghiệp. Khi có khách hàng, các thành viên của Đơn vị này ở Triều Tiên và Trung Quốc làm việc hối hả để đáp ứng đúng thời hạn của đơn hàng.

Theo ông Kim, các chương trình phần mềm được viết bởi Đơn vị 180 dành cho những khách hàng Nhật Bản “rất có khả năng” bị gắn với “backdoors” – các mã độc hại khiến các thiết bị sử dụng bị kiểm soát từ xa.

Đơn vị này thậm chí có các đơn hàng phát triển phần mềm thông qua các trang web môi giới có trụ sở tại Nhật Bản. Điều này cho thấy đơn vị 180 đã kiếm được khoản tiền lớn ở Nhật Bản để tài trợ cho các chương trình phát triển vũ khí hạt nhân tại Triều Tiên ngay trước mắt chính phủ Nhật Bản, theo Nikkei.

Ông Fumuakia Yamasaki, một chuyên gia an ninh mạng, đã đồng ý với ông Kim Heung-kwang.

“Các công ty phần mềm mà Đơn vị 180 cài cắm tại các quốc gia như Việt Nam và Malaysia đã được cải trang thành các công ty thông thường”. Ông cho biết: “Họ đã cung cấp hệ thống kiểm soát nhà máy và các sản phẩm khác cho các doanh nghiệp Nhật Bản”.

Ông Yamasaki nói thêm rằng dường như Đơn vị 180 đã bắt đầu nhận các đơn hàng trực tiếp từ các công ty Nhật Bản.

Triệu Hằng

Từ Khóa: