Tóm tắt
Tin tặc Triều Tiên đã xâm nhập vào môi trường đám mây để đánh cắp tiền điện tử như thế nào? Theo Báo cáo H2 2025 về Các mối đe dọa Đám mây của Google Cloud, nhóm Tình báo Đe dọa của công ty đang theo dõi UNC4899, một nhóm tin tặc có liên quan đến Triều Tiên, bị cáo buộc đã xâm nhập vào hai tổ chức sau khi bắt đầu liên lạc với nhân viên qua các nền tảng mạng xã hội. “Hoạt động của nhóm này ít nhất từ năm 2020, UNC4899 chủ yếu nhắm vào ngành công nghiệp tiền điện tử và blockchain, và đã thể hiện khả năng tinh vi trong việc thực hiện các cuộc tấn công chuỗi cung ứng phức tạp,” báo cáo cho biết.
Chi tiết các cuộc tấn công
Báo cáo lưu ý rằng trong khoảng thời gian từ Q3 2024 đến Q1 2025, công ty an ninh mạng Mandiant đã phản ứng với hai sự cố riêng biệt liên quan đến UNC4899, ảnh hưởng đến môi trường Google Cloud của một tổ chức và môi trường AWS của tổ chức khác. Trong khi các giai đoạn đầu và cuối của các cuộc xâm nhập chia sẻ các chiến thuật chung, các phương pháp được sử dụng trong các giai đoạn trung gian lại khác nhau, có thể phản ánh sự khác biệt trong kiến trúc hệ thống của các nạn nhân.
Báo cáo cũng chi tiết rằng trong giai đoạn đầu của các cuộc tấn công này, các tin tặc đã thiết lập liên lạc với các nạn nhân qua các nền tảng mạng xã hội, một qua Telegram và một qua LinkedIn, giả mạo là các nhà tuyển dụng phát triển phần mềm tự do. Các nhân viên bị nhắm mục tiêu sau đó đã vô tình được chỉ dẫn để chạy các container Docker độc hại trên máy trạm của họ. Hành động này đã kích hoạt việc triển khai phần mềm độc hại, bao gồm các trình tải như GLASSCANNON và các tải trọng thứ cấp như PLOTTWIST và MAZEWIRE, cuối cùng cho phép các kẻ tấn công kết nối với các máy chủ chỉ huy và kiểm soát (C2) của họ.
“Trong cả hai trường hợp, UNC4899 đã thực hiện một số hoạt động trinh sát nội bộ trên các máy chủ và môi trường kết nối của các nạn nhân, trước khi thu thập tài liệu xác thực mà họ đã sử dụng để chuyển sang các môi trường đám mây của nạn nhân,” báo cáo cho biết.
Chiến lược của tin tặc
Tin tặc Triều Tiên ngày càng dựa vào các lời mời làm việc giả để xâm nhập vào các công ty. Vào tháng 7, Bộ Tài chính Hoa Kỳ đã áp đặt lệnh trừng phạt đối với Song Kum Hyok vì bị cáo buộc điều hành một kế hoạch đưa các nhân viên CNTT Triều Tiên ngụy trang vào các công ty Hoa Kỳ nhằm tạo ra doanh thu cho Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK). Những nhân viên này, thường có trụ sở tại Trung Quốc hoặc Nga, đã sử dụng danh tính và quốc tịch giả, với các nhà tuyển dụng không hề hay biết về sự lừa dối.
Ý nghĩa và cảnh báo
Khi các mối đe dọa toàn cầu thúc đẩy các nền tảng tiền điện tử thắt chặt an ninh, đây là một lời nhắc nhở mạnh mẽ về lý do tại sao các hệ sinh thái phân quyền, do cộng đồng điều hành như Shibarium, lại quan trọng. Khác với các thiết lập truyền thống dễ bị tấn công tập trung, cơ sở hạ tầng mở của Shibarium cho phép các nhà phát triển xây dựng với sự minh bạch, khả năng phục hồi và niềm tin là cốt lõi.
Thay vì dựa vào một điểm thất bại duy nhất, Shibarium phân phối quyền kiểm soát trên một mạng lưới các nhà xác thực, nhà phát triển và người tham gia cộng đồng. Sự phân quyền này không chỉ làm cho các tác nhân xấu, như các nhóm tin tặc được nhà nước hỗ trợ, khó có thể chiếm lĩnh mà còn cho phép phát hiện và phản ứng nhanh hơn khi các lỗ hổng xuất hiện.
Khi không gian tiền điện tử đối mặt với các rủi ro mạng ngày càng tăng, các hệ sinh thái như Shibarium nhấn mạnh một con đường khác đi tới, một con đường dựa trên sự phân quyền, minh bạch và cam kết chung trong việc xây dựng các công cụ phục vụ, không khai thác, cho người dân.
Phần mềm độc hại và các vụ trộm tiền điện tử
Các tác nhân đe dọa Triều Tiên đã sử dụng phần mềm độc hại NimDoor để nhắm mục tiêu vào các thiết bị Apple. Nhóm Lazarus của Triều Tiên liên quan đến vụ trộm tiền điện tử 3,2 triệu đô la mới đây. Tin tặc Triều Tiên đã đánh cắp hàng tỷ tiền điện tử trong khi giả mạo là các nhà đầu tư mạo hiểm!
