(Không gian mạng) - Một báo cáo mới đây cho biết, dù tin tặc Triều Tiên nổi tiếng qua các vụ đánh cắp tiền để phục vụ cho chế độ Kim Jong Un, nhưng có vẻ nước này cũng đang thực hiện một chiến dịch gián điệp mạng nhắm vào các trường đại học.

Theo nhóm tình báo đe dọa mạng ASERT thuộc hãng bảo mật Netscout’s Arbor Networks (Singapore), chiến dịch đã bắt đầu từ tháng 05, nếu không nói là sớm hơn, sử dụng tiện ích mở rộng Google Chrome độc hại để xâm nhập vào máy tính nạn nhân.

Một khi lây nhiễm thành công hệ thống mục tiêu, tin tặc sử dụng “công cụ có sẵn”, như giao thức máy tính từ xa, chiếm quyền truy cập vào hệ thống, theo ASERT. Mục tiêu của chiến dịch, được đặt tên là “Stolen Pencil”, dường như là để duy trì sự hiện diện trên máy nạn nhân, vì các chuyên gia không tìm thấy bằng chứng nào của việc lấy cắp thông tin.virus-alert

“Phần lớn nạn nhân, thuộc nhiều trường đại học khác nhau, có chuyên môn về kỹ thuật y sinh học, điều này có thể nói lên động lực tấn công của tin tặc”, nghiên cứu công bố ngày 05/12 cho biết. Tiện ích mở rộng độc hại này đã bị gỡ bỏ khỏi kho ứng dụng Google Play, theo ASERT.

Mặc dù ASERT không chỉ đích danh Triều Tiên, nhưng những thông tin từ báo cáo đã nhắm đến quốc gia này. Việc sử dụng công cụ có sẵn và mã độc đào tiền ảo (cryptojacker) là phương thức điển hình của Triều Tiên, cũng như tính bảo mật kém trong hoạt động của tin tặc đã cho thấy, tiếng Hàn là ngôn ngữ của website mà tin tặc chọn để xem và thao tác bàn phím.

ASERT không nêu cụ thể vị trí của những trường bị tấn công. Tuy nhiên, một tài khoản Twitter đã đăng tài liệu về một nỗ lực tấn công email giả mạo trong chiến dịch, được gửi từ một địa chỉ email bị xâm nhập hoặc giả mạo trường Dartmouth College với dòng chữ “ngăn chặn hạt nhân” làm mồi nhử.

Theo một nguồn quen thuộc với vấn đề trên, email giả mạo được gửi đến một người có chuyên môn về ngoại giao Hàn Quốc tại một viện nghiên cứu.

Đây không phải là lần đầu một chiến dịch gián điệp mạng của Triều Tiên nhắm vào cộng đồng nghiên cứu. Tháng 09/2013, hãng bảo mật Kaspersky Lab (Nga) từng ghi nhận một chiến dịch tình nghi của Triều Tiên nhắm vào viện nghiên cứu Hàn Quốc.

Các hàm băm của tiện ích mở rộng Chrome được tìm thấy trong chiến dịch mới mà ASERT phát hiện này lại được kết nối đến một nhóm gián điệp mạng mà Kaspersky báo cáo năm 2013, theo trang ZDNet đưa tin.

Tin tặc không chỉ theo đuổi tài chính

Điểm đặc trưng của những chiến dịch từ Triều Tiên là việc nhắm mục tiêu mạnh mẽ vào cơ sở tài chính khắp toàn cầu. Tháng 11/2018, hãng bảo mật FireEye (Mỹ) báo cáo một nhóm tin tặc liên quan đến Triều Tiên đã cố gắng đánh cắp 1,1 triệu USD. Nhưng không chỉ có ngân hàng là nằm trong tầm ngắm. Mỹ từng quy kết vụ tấn công hãng Sony Pictures Entertainment năm 2014 và vụ mã độc đòi tiền chuộc WannaCry năm 2017 cho Triều Tiên. Ngoài nghiên cứu của ASERT, có rất nhiều bằng chứng cho thấy tin tặc liên quan đến Triều Tiên đang mở rộng mục tiêu của chúng dựa vào nhiều ngành công nghiệp khác.

Dmitri Alperovitch, Giám đốc Tài chính và là đồng sáng lập hãng bảo mật CrowdStrike (Mỹ) cho biết, công ty ông vừa phát hiện một sự tăng nhẹ trong việc nhắm mục tiêu của tin tặc Triều Tiên, “trong đó có nỗ lực xâm nhập vào một doanh nghiệp sản xuất, và điều này có thể là dấu hiệu của sự mở rộng vào lĩnh vực kinh tế”.

Alperovitch nói với tờ Cyberscoop rằng, trong hơn một thập kỷ theo dõi các nhóm tin tặc Triều Tiên, CrowdStrike nhận thấy “sự tinh vi trong các chiến dịch của chúng liên tục được phát triển”.

Vì Triều Tiên mở rộng mục tiêu tấn công, Mỹ đã phải rất khó khăn để tìm ra cách ngăn chặn Triều Tiên trên không gian mạng. Tháng 11/2018, Cục Điều tra Liên Bang FBI cảnh báo doanh nghiệp Mỹ rằng, tin tặc chính phủ Triều Tiên sẽ tiếp tục nhắm mục tiêu viện tài chính toàn cầu mặc cho những cáo buộc mà chính phủ Mỹ đã quy kết cho Triều Tiên.

Hồng Anh (Lược dịch từ Cyberscoop)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm:
Thích và chia sẻ bài này trên