Nhóm tình báo đe dọa của Google (GTIG) tiết lộ rằng hành động giả mạo kỹ sư IT của Bắc Hàn đang tiếp tục mở rộng, phạm vi xâm nhập đã từ Mỹ lan sang Anh và nhiều quốc gia châu Âu. Họ giả mạo thành những kỹ sư từ xa chính thức, xâm nhập vào hệ thống doanh nghiệp, tham gia vào các dự án công nghệ cao và đánh cắp dữ liệu, gây ra mối đe dọa lớn đối với an ninh thông tin toàn cầu và bí mật doanh nghiệp.
Từ Mỹ đến Châu Âu: Dự án blockchain và AI trở thành mục tiêu hàng đầu của Bắc Triều Tiên
Kể từ nửa cuối năm 2024, GTIG đã quan sát thấy nhân viên IT của Bắc Triều Tiên tăng cường rõ rệt việc thâm nhập vào thị trường châu Âu, đặc biệt tập trung vào Vương quốc Anh, Đức, Bồ Đào Nha và khu vực Đông Âu. Họ đã sử dụng các danh tính giả mạo như quốc tịch, trình độ học vấn và nơi cư trú để ứng tuyển vào các vị trí doanh nghiệp, thậm chí có một nhân viên sử dụng 12 danh tính giả để tham gia vào ngành công nghiệp quốc phòng và các dự án của chính phủ.
Các kỹ sư CNTT Bắc Triều Tiên chuyển hướng mở rộng sang các khu vực không phải Mỹ
Theo thông tin, trong sơ yếu lý lịch thường có bằng cấp từ Đại học Serbia, địa chỉ Slovakia, cũng như tài liệu hướng dẫn sử dụng các trang web tìm việc tại châu Âu.
Lật tẩy mạng lưới danh tính giả mạo toàn cầu đứng sau các nhà phát triển giả.
GTIG lo ngại rằng những kỹ sư Bắc Triều Tiên này không phải hoạt động đơn lẻ, có thể có một hệ thống hỗ trợ xuyên quốc gia đứng sau giúp họ giả mạo danh tính, vượt qua kiểm tra và chuyển tiền.
Báo cáo tiết lộ, đã có một chiếc laptop doanh nghiệp vốn được sử dụng tại New York bị phát hiện đang hoạt động ở London, cho thấy hành động ngụy trang trải dài qua châu Âu và châu Mỹ. Cuộc điều tra cũng phát hiện chiếc laptop này được sử dụng để cung cấp hộ chiếu giả, hướng dẫn chiến lược xin việc, thậm chí liệt kê các múi giờ mà các quốc gia khác nhau nên sử dụng để tăng cường việc ngụy trang danh tính.
Gần đây, các chuyên gia an ninh mạng trên chuỗi đã phát hiện ra một phương thức lừa đảo mới, tin tặc Bắc Triều Tiên giả mạo các chuyên gia (Venture Capital, VC), thông qua các vấn đề âm thanh thường gặp trong cuộc họp Zoom, dụ dỗ nạn nhân tải xuống tệp âm thanh sửa lỗi chứa mã độc, hoặc dẫn đến việc tiền cá nhân hoặc dữ liệu nhạy cảm bị đánh cắp.
( Cuộc gọi hội nghị gặp vấn đề? Cẩn thận là hacker Bắc Hàn giả mạo VC, phát tán liên kết sửa âm thanh để lừa đảo )
Tần suất tống tiền gia tăng, các hành vi đe dọa rò rỉ thông tin liên tiếp xuất hiện.
Đối mặt với áp lực từ các vụ kiện và trừng phạt của Mỹ, tần suất tấn công ransomware của nhân viên CNTT Bắc Triều Tiên đã liên tục tăng kể từ tháng 10 năm ngoái, họ đã gây sức ép lên các doanh nghiệp lớn, đe dọa rò rỉ dữ liệu bí mật hoặc bán cho đối thủ cạnh tranh:
Trong quá khứ, đã có nhân viên CNTT sau khi bị sa thải cố gắng quay trở lại làm việc bằng danh tính khác, giờ đây họ trực tiếp sử dụng tài liệu bí mật nội bộ và dữ liệu dự án như một con bài để duy trì nguồn thu nhập của quốc gia đó.
(Tuyên bố liên hợp của ba nước Mỹ, Nhật Bản và Hàn Quốc cảnh báo: Mối đe dọa từ tin tặc Bắc Triều Tiên đang gia tăng, cần phải phòng ngừa chung )
GTIG phát hiện họ đã tham gia vào nhiều dự án cho đến nay, bao gồm các ứng dụng trên chuỗi được phát triển dựa trên Solana và Rust, các trang web hoặc ứng dụng AI dựa trên Electron hoặc Next.js, thậm chí bao gồm cả robot tự động và hệ thống quản lý nội dung:
Một số dự án liên quan đến công nghệ nhạy cảm, và việc thanh toán lương cũng thường bằng tiền điện tử, khiến cho nguồn gốc và dòng chảy của tài chính trở nên khó theo dõi hơn.
Tiện lợi có nghĩa là tùy tiện? Môi trường làm việc BYOD trở thành lỗ hổng mới
Ngoài ra, GTIG cũng đặc biệt đề cập, do một số doanh nghiệp áp dụng chính sách "Mang Thiết Bị Riêng (Bring Your Own Device, BYOD)", cho phép nhân viên truy cập từ xa vào hệ thống công ty thông qua thiết bị cá nhân, có thể dẫn đến việc kiểm soát an ninh truyền thống và nhận diện thiết bị bị mất hiệu lực:
Các kỹ thuật viên Bắc Triều Tiên đã xem môi trường BYOD như một mục tiêu lý tưởng và bắt đầu triển khai hành động trong các doanh nghiệp như vậy vào đầu năm 2025. Việc thiếu giám sát toàn diện, theo dõi thiết bị và chức năng ghi chép đã khiến họ dễ dàng ẩn mình bên trong, thực hiện việc đánh cắp dữ liệu và các hoạt động ác ý khác.
Các doanh nghiệp toàn cầu đang cảnh báo, kêu gọi tăng cường xác minh và giám sát an ninh mạng.
Các phương thức tấn công của hacker Bắc Hàn vẫn đang tiếp tục thay đổi, Cục Điều tra Liên bang Hoa Kỳ (FBI) và thám tử trên chuỗi ZachXBT đã tiết lộ cách đây vài tháng rằng họ thực hiện các cuộc tấn công kỹ thuật xã hội (Social Engineering Attack) được thiết kế tinh vi và khó phát hiện nhằm vào các dự án tiền điện tử và các công ty liên quan, cố gắng phát tán phần mềm độc hại và đánh cắp tài sản tiền điện tử của công ty.
(ZachXBT đã tiết lộ mạng lưới tội phạm hacker Bắc Triều Tiên, giả vờ là đội ngũ phát triển để lừa đảo rút tiền: thu nhập hàng tháng 500.000 USD)
Trước những hành động xâm nhập như vậy, doanh nghiệp phải cảnh giác và tăng cường kiểm tra lý lịch, quy trình xác minh và bảo vệ an toàn thông tin của ứng viên, đặc biệt là việc kiểm soát nhân sự từ xa và các nền tảng thuê ngoài:
Triều Tiên đã thiết lập một mạng lưới hoạt động giả danh hoàn chỉnh và hệ thống hỗ trợ xuyên quốc gia, với mức độ linh hoạt và phạm vi thâm nhập đã khiến nó trở thành một mối đe dọa an ninh lớn trong ngành công nghệ toàn cầu.
Bài báo Google: Trường hợp xâm nhập của các kỹ sư giả mạo Bắc Triều Tiên lan rộng đến Vương quốc Anh, cảnh báo rủi ro an ninh mạng cho các doanh nghiệp lần đầu xuất hiện trên Chain News ABMedia.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Google: Trường hợp kỹ sư giả mạo Bắc Hàn thâm nhập mở rộng tới Anh, cảnh báo rủi ro an ninh doanh nghiệp.
Nhóm tình báo đe dọa của Google (GTIG) tiết lộ rằng hành động giả mạo kỹ sư IT của Bắc Hàn đang tiếp tục mở rộng, phạm vi xâm nhập đã từ Mỹ lan sang Anh và nhiều quốc gia châu Âu. Họ giả mạo thành những kỹ sư từ xa chính thức, xâm nhập vào hệ thống doanh nghiệp, tham gia vào các dự án công nghệ cao và đánh cắp dữ liệu, gây ra mối đe dọa lớn đối với an ninh thông tin toàn cầu và bí mật doanh nghiệp.
Từ Mỹ đến Châu Âu: Dự án blockchain và AI trở thành mục tiêu hàng đầu của Bắc Triều Tiên
Kể từ nửa cuối năm 2024, GTIG đã quan sát thấy nhân viên IT của Bắc Triều Tiên tăng cường rõ rệt việc thâm nhập vào thị trường châu Âu, đặc biệt tập trung vào Vương quốc Anh, Đức, Bồ Đào Nha và khu vực Đông Âu. Họ đã sử dụng các danh tính giả mạo như quốc tịch, trình độ học vấn và nơi cư trú để ứng tuyển vào các vị trí doanh nghiệp, thậm chí có một nhân viên sử dụng 12 danh tính giả để tham gia vào ngành công nghiệp quốc phòng và các dự án của chính phủ.
Các kỹ sư CNTT Bắc Triều Tiên chuyển hướng mở rộng sang các khu vực không phải Mỹ
Theo thông tin, trong sơ yếu lý lịch thường có bằng cấp từ Đại học Serbia, địa chỉ Slovakia, cũng như tài liệu hướng dẫn sử dụng các trang web tìm việc tại châu Âu.
Lật tẩy mạng lưới danh tính giả mạo toàn cầu đứng sau các nhà phát triển giả.
GTIG lo ngại rằng những kỹ sư Bắc Triều Tiên này không phải hoạt động đơn lẻ, có thể có một hệ thống hỗ trợ xuyên quốc gia đứng sau giúp họ giả mạo danh tính, vượt qua kiểm tra và chuyển tiền.
Báo cáo tiết lộ, đã có một chiếc laptop doanh nghiệp vốn được sử dụng tại New York bị phát hiện đang hoạt động ở London, cho thấy hành động ngụy trang trải dài qua châu Âu và châu Mỹ. Cuộc điều tra cũng phát hiện chiếc laptop này được sử dụng để cung cấp hộ chiếu giả, hướng dẫn chiến lược xin việc, thậm chí liệt kê các múi giờ mà các quốc gia khác nhau nên sử dụng để tăng cường việc ngụy trang danh tính.
Gần đây, các chuyên gia an ninh mạng trên chuỗi đã phát hiện ra một phương thức lừa đảo mới, tin tặc Bắc Triều Tiên giả mạo các chuyên gia (Venture Capital, VC), thông qua các vấn đề âm thanh thường gặp trong cuộc họp Zoom, dụ dỗ nạn nhân tải xuống tệp âm thanh sửa lỗi chứa mã độc, hoặc dẫn đến việc tiền cá nhân hoặc dữ liệu nhạy cảm bị đánh cắp.
( Cuộc gọi hội nghị gặp vấn đề? Cẩn thận là hacker Bắc Hàn giả mạo VC, phát tán liên kết sửa âm thanh để lừa đảo )
Tần suất tống tiền gia tăng, các hành vi đe dọa rò rỉ thông tin liên tiếp xuất hiện.
Đối mặt với áp lực từ các vụ kiện và trừng phạt của Mỹ, tần suất tấn công ransomware của nhân viên CNTT Bắc Triều Tiên đã liên tục tăng kể từ tháng 10 năm ngoái, họ đã gây sức ép lên các doanh nghiệp lớn, đe dọa rò rỉ dữ liệu bí mật hoặc bán cho đối thủ cạnh tranh:
Trong quá khứ, đã có nhân viên CNTT sau khi bị sa thải cố gắng quay trở lại làm việc bằng danh tính khác, giờ đây họ trực tiếp sử dụng tài liệu bí mật nội bộ và dữ liệu dự án như một con bài để duy trì nguồn thu nhập của quốc gia đó.
(Tuyên bố liên hợp của ba nước Mỹ, Nhật Bản và Hàn Quốc cảnh báo: Mối đe dọa từ tin tặc Bắc Triều Tiên đang gia tăng, cần phải phòng ngừa chung )
GTIG phát hiện họ đã tham gia vào nhiều dự án cho đến nay, bao gồm các ứng dụng trên chuỗi được phát triển dựa trên Solana và Rust, các trang web hoặc ứng dụng AI dựa trên Electron hoặc Next.js, thậm chí bao gồm cả robot tự động và hệ thống quản lý nội dung:
Một số dự án liên quan đến công nghệ nhạy cảm, và việc thanh toán lương cũng thường bằng tiền điện tử, khiến cho nguồn gốc và dòng chảy của tài chính trở nên khó theo dõi hơn.
Tiện lợi có nghĩa là tùy tiện? Môi trường làm việc BYOD trở thành lỗ hổng mới
Ngoài ra, GTIG cũng đặc biệt đề cập, do một số doanh nghiệp áp dụng chính sách "Mang Thiết Bị Riêng (Bring Your Own Device, BYOD)", cho phép nhân viên truy cập từ xa vào hệ thống công ty thông qua thiết bị cá nhân, có thể dẫn đến việc kiểm soát an ninh truyền thống và nhận diện thiết bị bị mất hiệu lực:
Các kỹ thuật viên Bắc Triều Tiên đã xem môi trường BYOD như một mục tiêu lý tưởng và bắt đầu triển khai hành động trong các doanh nghiệp như vậy vào đầu năm 2025. Việc thiếu giám sát toàn diện, theo dõi thiết bị và chức năng ghi chép đã khiến họ dễ dàng ẩn mình bên trong, thực hiện việc đánh cắp dữ liệu và các hoạt động ác ý khác.
Các doanh nghiệp toàn cầu đang cảnh báo, kêu gọi tăng cường xác minh và giám sát an ninh mạng.
Các phương thức tấn công của hacker Bắc Hàn vẫn đang tiếp tục thay đổi, Cục Điều tra Liên bang Hoa Kỳ (FBI) và thám tử trên chuỗi ZachXBT đã tiết lộ cách đây vài tháng rằng họ thực hiện các cuộc tấn công kỹ thuật xã hội (Social Engineering Attack) được thiết kế tinh vi và khó phát hiện nhằm vào các dự án tiền điện tử và các công ty liên quan, cố gắng phát tán phần mềm độc hại và đánh cắp tài sản tiền điện tử của công ty.
(ZachXBT đã tiết lộ mạng lưới tội phạm hacker Bắc Triều Tiên, giả vờ là đội ngũ phát triển để lừa đảo rút tiền: thu nhập hàng tháng 500.000 USD)
Trước những hành động xâm nhập như vậy, doanh nghiệp phải cảnh giác và tăng cường kiểm tra lý lịch, quy trình xác minh và bảo vệ an toàn thông tin của ứng viên, đặc biệt là việc kiểm soát nhân sự từ xa và các nền tảng thuê ngoài:
Triều Tiên đã thiết lập một mạng lưới hoạt động giả danh hoàn chỉnh và hệ thống hỗ trợ xuyên quốc gia, với mức độ linh hoạt và phạm vi thâm nhập đã khiến nó trở thành một mối đe dọa an ninh lớn trong ngành công nghệ toàn cầu.
Bài báo Google: Trường hợp xâm nhập của các kỹ sư giả mạo Bắc Triều Tiên lan rộng đến Vương quốc Anh, cảnh báo rủi ro an ninh mạng cho các doanh nghiệp lần đầu xuất hiện trên Chain News ABMedia.