Khi một nhà nước trở thành kẻ trộm khét tiếng toàn cầu

• Lê Tây Sơn
  12 tháng 6, 2023

Saigon Nhỏ

Minh họa: kaur-kristjan-unsplash

Đội quân tin tặc của Bắc Hàn đã đánh cắp $3 tỷ tiền điện tử để tài trợ cho chương trình hạt nhân và phóng tên lửa. Bình Nhưỡng đã đào tạo một đội quân tội phạm mạng giả danh nhân viên công nghệ thông tin (IT) hoặc người tuyển lao động để tiến hành các hoạt động trộm cắp cấp nhà nước. 

Chuyển từ cảnh báo sang khẩn cấp đối phó

Wall Street Journal thuật, năm ngoái, một kỹ sư làm việc cho công ty trò chơi chuỗi khối (blockchain gaming) Sky Mavis nghĩ rằng anh sắp có thêm một công việc mới với thù lao hậu hĩnh. Một nhà tuyển dụng bí ẩn đã liên hệ với anh qua LinkedIn và sau khi hai người nói chuyện qua điện thoại, ông ta đưa cho kỹ sư một file tài liệu để nghiên cúu trước như một phần của cuộc phỏng vấn tuyển dụng.

Nhưng không giống những người tuyển dụng khác, người này là một mắt xích trong kế hoạch rộng lớn và bài bản của chế độ Bắc Hàn nhằm ăn trộm tiền của người khác. Tài liệu ông ta trao cho “con mồi” là một “Trojan Horse”, mã máy tính độc hại cho phép tin tặc Bắc Hàn truy cập vào máy tính của viên kỹ sư để đột nhập vào Sky Mavis và đánh cắp hơn $600 triệu, hầu hết từ những khách hàng đăng ký chơi trò chơi nuôi thú cưng ảo (digital pets game) Axie Infinity của Sky Mavis.

Theo công ty phân tích chuỗi khối Chainalysis, Bắc Hàn đã tiến hành đợt trộm cắp kỹ thuật số lớn nhất trong năm năm qua và gom được hơn $3 tỷ. Các quan chức Mỹ cho biết số tiền đó được sử dụng để tài trợ cho khoảng 50% kinh phí của chương trình tên lửa đạn đạo, phát triển song song với vũ khí hạt nhân. Quốc phòng chiếm phần rất lớn trong ngân sách của Bắc Hàn. Bộ Ngoại giao Mỹ ước tính, năm 2019, Bình Nhưỡng đã chi khoảng $4 tỷ cho quốc phòng, chiếm 26% GDP của nước này.

Giám đốc điều hành Aleksander Larsen của Sky Mavis cho biết, dù công ty đã hoàn trả tiền cho các nạn nhân của cuộc tấn công mạng, nhưng lúc bị mất cắp, sự tồn vong của công ty mới bốn năm tuổi tưởng như không thể tránh khỏi. “Khi bạn nhìn vào số tiền bị đánh cắp, nó trở thành cơn ác mộng đối với những gì bạn đã gầy công xây dựng”. Vụ việc cũng thu hút sự chú ý của Toà Bạch Ốc khi các cuộc tấn công tiền điện tử của Bình Nhưỡng diễn ra cấp tập trong suốt năm 2022.

Anne Neuberger, Phó cố vấn an ninh quốc gia về công nghệ mạng và công nghệ mới nổi của Tổng thống Joe Biden nhận xét: “Sự gia tăng tấn công các cơ sở hạ tầng tiền điện tử có qui mô toàn cầu nắm giữ nhiều tiền như Sky Mavis đã dẫn đến những thiệt hại rất lớn. Điều đó đã thúc đẩy chúng tôi phải tập trung cao độ vào việc chống lại hoạt động của tin tặc Bắc Hàn”.

Những tên “trộm kỹ thuật số” của Bắc Hàn bắt đầu thực hiện các cuộc tấn công tiền điện tử lớn đầu tiên từ năm 2018. Nhờ tiền ăn trộm, số vụ phóng thành công tên lửa của Bình nhưỡng tăng rất nhanh với hơn 42 vụ phóng thành công trong năm 2022 (theo dữ liệu của Trung tâm nghiên cứu không phổ biến vũ khí hạt nhân James Martin – James Martin Center for Nonproliferation Studies).

Giới chức Hoa Kỳ cảnh báo, còn rất nhiều điều chưa biết về các nguồn tiền của bẩn của Bắc Hàn trong bối cảnh chế độ bị phương Tây trừng phạt, và phương Tây cũng không thể hiểu chính xác về phần đóng góp của tiền điện tử ăn trộm được trong các vụ thử nghiệm tên lửa. Nhưng việc thử nghiệm liên tục tên lửa của một chế độ bị cô lập không có làm ăn với bên ngoài như Kim Jong Un đã dẫn đến quan ngại về chiến lược “dùng tiền ăn trộm nuôi tham vọng”. Neuberger ước tính có khoảng 50% ngoại tệ của Bắc Hàn dùng để mua các bộ phận nước ngoài cho chương trình tên lửa đạn đạo đến từ các hoạt động bất chính trên mạng internet, tăng mạnh so với ước tính 1/3 trước đó.

Trộm cắp tiền điện tử là giải pháp “phá” cấm vận tốt nhất

Giới chức Hoa Kỳ cho biết Bắc Hàn đã xây dựng một lực lượng lao động ngầm gồm hàng ngàn nhân viên IT hoạt động tại nhiều quốc gia trên thế giới, kể cả Nga và Trung Quốc. Có người hưởng lương hơn $300,000 một năm. Lực lượng lao động này thường liên quan đến hoạt động tội phạm mạng của chế độ. Chúng giả làm nhân viên tuyển dụng IT ở Canada, quan chức chính phủ và nhà phát triển blockchain tự do của Nhật Bản để thực hiện các cuộc phỏng vấn xin việc qua video hoặc, như ví dụ của Sky Mavis, giả làm nhà tuyển dụng.

Theo các nạn nhân và giới điều tra, để được các công ty tiền điện tử phương Tây tuyển dụng làm việc trên mạng, tin tặc Bắc Hàn thuê người phương Tây (về cơ bản là ‘thế thân’ cho tin tặc). Sau khi được thuê làm việc và được quyền truy cập, tin tặc Bắc Hàn sẽ thực hiện những thay đổi nhỏ đối với sản phẩm phần mềm nhắm đến để tấn công vào hệ thống của công ty.

Cách nay hai năm, tin tặc Bắc Hàn lây nhiễm mã độc cho các bệnh viện Mỹ (một loại tấn công mạng trong đó tin tặc khóa các tệp của bệnh viện và yêu cầu trả tiền mở khoá) để tống tiền. Cựu nhà phân tích Nick Carlsen của FBI hiện làm việc cho công ty theo dõi chuỗi khối TRM Labs, nhận định: “Bắc Hàn giống như một quốc gia cướp biển thời hiện đại với các vụ đột kích được chỉ thị ở cấp cao nhất”.

Carlsen và các chuyên viên công nghiệp tiền điện tử xem việc phát hiện và xoá sổ các nhân viên IT giả mạo là nhiệm vụ quan trọng thường xuyên. Từ lâu, các chuyên gia quốc tế cảnh báo Bắc Hàn đang phát triển một đội quân cướp ngân hàng kỹ thuật số để vô hiệu hoá các lệnh trừng phạt của phương Tây và có tiền thực hiện tham vọng sức mạnh địa chính trị bằng vũ khí hạt nhân và tên lửa đạn đạo.

Một báo cáo của Liên Hợp Quốc năm 2020 cho thấy nguồn thu nhập từ trộm cướp trên mạng là “rủi ro thấp, phần thưởng cao và khó phát hiện”. Trong nhiều năm, Hoa Kỳ và các chính phủ phương Tây tin rằng Bắc Hàn là thủ phạm thực hiện loạt vụ tấn công mạng trắng trợn như vụ tấn công Sony Pictures năm 2014 hay vụ tấn công đòi tiền chuộc (ransomware) quy mô toàn cầu năm 2017.

Tuy nhiên, Bình Nhưỡng hầu như bỏ ngoài tai tất cả. Theo các quan chức và chuyên gia an ninh Hoa Kỳ, các cuộc tấn công mạng không chỉ để ăn trộm mà còn giúp cải thiện đáng kể “trình độ” trộm để chuẩn bị vét được nhuều tiền hơn trong tương lai. Neuberger nhận định: “Trong khi hầu hết chương trình mạng của các quốc gia đều tập trung vào chống gián điệp hoặc tấn công chính trị thì Bắc Hàn tập trung vào trộm cắp tiền điện tử và các loại tiền mạnh khác”.

Càng ngày tay nghề càng siêu!

Năm 2016, bọn tin tặc làm việc cho Bình Nhưỡng đã đánh cắp $81 triệu từ Ngân hàng Trung ương Bangladesh (nằm trong âm mưu đánh cắp mạng trị giá $1 tỷ bị Federal Reserve Bank of New York phá vỡ). “Bắc Hàn cũng đánh cắp tiền từ các máy ATM, thậm chí kiếm được hơn $100,000 tiền điện tử từ loại “worm” WannaCry lây lan nhanh chóng. Nhưng không có gì sinh lợi bằng trộm tiền điện tử. “Năm 2018, Bắc Hàn chính thức xem đây là ‘giải pháp số một’ – Erin Plante, phó chủ tịch phụ trách điều tra của Chainalysis nhận xét – Chế độ Bình Nhưỡng đã sớm tham gia vào tiền điện tử và trở thành một trong những người dùng tiền điện tử tiên tiến sớm nhất”.

Tin tặc của Bắc Hàn ngày càng tinh vi hơn về kỹ thuật và kỹ năng trộm cắp khiến các chuyên viên Mỹ cũng phải bái phục. Một số người từng chứng kiến tin tặc Bắc Hàn thực hiện các thao tác phức tạp chưa từng thấy ở bất kỳ nơi nào. Ví dụ, trong một cuộc tấn công đáng chú ý vào đầu năm nay, tin tặc của Bắc Hàn đã thực hiện điều mà các nhà nghiên cứu bảo mật gọi là “first-of-its-kind cascading supply-chain attack”.

Cụ thể, chúng đột nhập vào từng nhà sản xuất phần mềm, gài mã độc vào sản phẩm của họ để giành quyền truy cập vào hệ thống máy tính phục vụ khách hàng. Để tiến hành cuộc tấn công, trước tiên chúng gài mã độc vào một sản phẩm của nhà sản xuất phần mềm giao dịch trực tuyến Trading Technologies.

Theo các nhà điều tra, sản phẩm bị cài mã độc sau đó được một nhân viên công ty phát triển phần mềm 3CX tải xuống. Thông qua mã độc, tin tặc Bắc Hàn giành quyền truy cập vào hệ thống máy tính của 3CX để truy cập vào các khách hàng của công ty, kể cả các sàn giao dịch tiền điện tử. Trading Technologies đã thuê một công ty để điều tra vụ việc. 3CX cũng tăng cường các biện pháp bảo mật sau vụ hack. Giám đốc điều hành Nick Galea cho biết công ty không biết có bao nhiêu khách hàng bị ảnh hưởng nhưng tin là không nhiều lắm vì vụ việc được phát hiện sớm. “Đây thực sự là một cuộc chạy đua vũ trang giữa chúng tôi với những tin tặc này” – Larsen của Sky Mavis nhận định.