Tóm tắt bài viết

  • Hãng an ninh mạng FireEye cho biết nhóm tin tặc Reaper có địa chỉ IP ở Triều Tiên gần đây đã chuyển hướng mục tiêu từ Hàn Quốc sang toàn cầu.
  • Các công cụ tấn công của họ rất phức tạp và đắc đỏ, củng cố cho lập luận họ được chính quyền Bình Nhưỡng hỗ trợ.
  • Thường các nhóm tin tặc quốc gia muốn che giấu dấu vết để tránh những cú sốc về kinh tế và ngoại giao, nhưng trong bối cảnh Triều Tiên bị trừng phạt nặng nề, các nhóm tin tặc Triều Tiên dường như ít quan tâm đến vấn đề này.

Nhóm “Reaper” (Thần chết) không cố gắng che giấu dấu vết của mình bằng các cuộc tấn công không gian mạng phức tạp, theo báo cáo của hãng an ninh mạng FireEye.

Theo một báo cáo mới, 1 trong 3 nhóm tin tặc (hacker) lớn của Triều Tiên đang săn lùng các mục tiêu ở nước ngoài và không che giấu các dấu vết, một dấu hiệu cho thấy Bình Nhưỡng đang mở rộng các cuộc tấn công không gian mạng của mình trong bối cảnh phải hứng chịu các biện pháp trừng phạt nặng nề.

Trong một thời gian dài, nhóm này (được công ty an ninh mạng FireEye Inc. gọi là “Reaper”) đã tập trung vào việc sách nhiễu các cơ quan công quyền, quân đội và các công ty tư nhân của Hàn Quốc.

Nhưng vào năm ngoái, đơn vị này đã tấn công Nhật Bản, Việt Nam và Trung Đông, nắm bắt những kỹ năng tinh vi đáng ngạc nhiên trong việc tìm kiếm thông tin bí mật cho chế quyền của Kim Jong Un, FireEye cho biết trong một báo cáo hôm thứ Ba 20/2.

kim jong un
Lãnh đạo Triều Tiên Kim Jong Un đang “vọc” máy vi tính. (Ảnh: AFP/GETTY)

Sự nổi lên của nhóm Reaper có nghĩa là hai đơn vị không gian mạng Triều Tiên lớn đã được tung ra để tấn công toàn cầu. Một nhóm khác, thường được gọi là “Lazarus”, đã được liên kết với các chiến dịch tẩy chay hàng đầu của Triều Tiên, ví dụ như cuộc tấn công ransomware WannaCry năm ngoái và vụ hack Sony Pictures năm 2014.

Không giống Lazarus, với tin tặc được triển khai trên khắp thế giới, nhóm Reaper dường như chủ yếu ở Bình Nhưỡng, FireEye nói. Theo FireEye, các phần mềm độc hại của họ thường có cường độ tấn công cao theo giờ giấc một ngày làm việc của Triều Tiên, cao điểm vào lúc 11 giờ sáng và 3 giờ chiều tại Triều Tiên, trong khi yên tĩnh đáng kể vào buổi trưa.

John Hultquist, Giám đốc phân tích tình báo của FireEye, nói: “Trong trường hợp này, Reaper xuất đầu lộ diện từ không gian IP của Bình Nhưỡng”. IP chính là giao thức internet xác định vị trí của máy tính.

Hầu hết các nhóm hacker quốc gia sẽ tránh những cuộc tấn công táo bạo do lo ngại sẽ dẫn tới những cú sốc kinh tế hoặc ngoại giao. Tuy nhiên, khi các biện pháp trừng phạt bắt đầu bủa vây Triều Tiên, “họ không quan tâm nhiều đến việc bị phát hiện”, ông Hultquist nói.

Các chuyên gia về không gian mạng của Hàn Quốc, nơi thường xuyên chịu đựng các cuộc tấn công của Bình Nhưỡng trong 2 thập kỷ, đã sắp xếp quân đội không gian Triều Tiên thành 3 đội: nhóm A, hoặc Lazarus, đã tấn công các ngân hàng nước ngoài và các công ty nước ngoài; nhóm B, hay Reaper, tập trung vào Hàn Quốc (cho đến gần đây); và nhóm C chuyên phá hủy các email và thu thập thông tin.

Triều Tiên từ trước đến nay luôn phủ nhận việc tham gia vào các cuộc tấn công tin tặc.

Các vụ tấn công nước ngoài mới của Reaper đã nhắm vào các công ty tư nhân trong ngành hóa chất, hàng không vũ trụ, ô tô và chăm sóc sức khỏe, FireEye nói.

Một vụ tấn công như vậy đã nhắm vào một công ty Trung Đông liên doanh với chính phủ Triều Tiên để cung cấp dịch vụ viễn thông. Vụ tấn công, theo FireEye, là một nỗ lực của chính phủ Triều Tiên để thu thập thông tin về công ty sau khi thỏa thuận kinh doanh bị cấm vận.

FireEye đã không tiết lộ tên của công ty. Tuy nhiên, Orascom Telecom Media and Technology của Ai Cập đã liên doanh với chính phủ Triều Tiên trong năm 2008 để vận hành mạng lưới điện thoại di động Koryolink của nước này.

Chủ tịch Orascom Naguib Sawiris nói với The Wall Street Journal rằng ông không hề hay biết về bất kỳ vụ tấn công không gian mạng nào của Triều Tiên vào năm ngoái, và nghi ngờ chuyện xảy ra. Ông nói rằng một nhóm Ukraine đã phát động một cuộc tấn công vào Orascom, nhưng không thành công.

Nhóm Reaper vẫn tiếp tục theo đuổi các mục tiêu ở Hàn Quốc, mặc dù các cuộc tấn công gần đây đáng lưu ý vì mức độ kỹ năng của họ, FireEye nói.

Trong những tháng gần đây, Reaper nhắm tới người Hàn Quốc khi họ thực hiện một cuộc tấn công “zero-day” khai thác các lỗ hổng chưa được biết trước đó với Adobe Flash, trình phát đa phương tiện được nhiều trình duyệt internet sử dụng.

Những cuộc tấn công như vậy rất hiếm hoi và được xem là một trong những vũ khí máy tính tinh vi và tốn kém nhất trên thế giới vì phần mềm độc hại rất khó tạo ra. Bằng cách nhúng phần mềm độc hại vào tệp Adobe Flash, tin tặc Triều Tiên có thể truy cập từ xa các máy tính bị nhiễm.

Ông Hultquist nói: “Bây giờ họ (Reaper) có thể có một nhiệm vụ toàn cầu và chính phủ đang thúc đẩy họ ngày càng nhiều hơn cho các nhiệm vụ khác”.

Triều Thiên

Từ Khóa: