Hơn 10.000 chuyên gia IT Triều Tiên đã xâm nhập các thị trường công nghệ và nền tảng freelancer toàn cầu. Các đơn vị an ninh mạng do nhà nước bảo trợ sử dụng những đặc vụ này để tạo ra doanh thu cho các chương trình vũ khí bị trừng phạt và thu thập tình báo từ các ngành như fintech đến thiết kế hạ tầng trọng yếu. Đây là một mối đe dọa mạng nghiêm trọng cần được quan tâm.

Kể từ ít nhất năm 2018, Bình Nhưỡng đã điều phối một chiến dịch rộng lớn triển khai các nhà phát triển tài năng ra nước ngoài dưới danh tính giả mạo.

Kỹ Thuật Che Giấu Nguồn Gốc và Danh Tính Trong Mối Đe Dọa Mạng

Các đặc vụ Triều Tiên đóng vai trò freelancer hoặc nhân viên toàn thời gian ở Trung Quốc, Nga, Đông Nam Á, và thậm chí ngay tại Triều Tiên thông qua các cổng internet được kiểm soát chặt chẽ.

Bằng cách định tuyến kết nối qua nhiều nhà cung cấp máy chủ riêng ảo (VPS) và dịch vụ mạng riêng ảo (VPN), các chuyên gia IT này né tránh các kiểm tra định vị địa lý và hệ thống xác minh nguồn gốc trên các nền tảng như Upwork, LinkedIn và GitHub.

Một số đặc vụ duy trì toàn bộ các “laptop farm” – là các cụm máy từ xa được cấu hình sẵn với các công cụ ẩn danh và thông tin xác thực giả mạo. Điều này cho phép họ nhanh chóng tạo ra các danh tính mới bất cứ khi nào một danh tính bị gắn cờ hoặc bị chặn.

Mục Tiêu và Phạm Vi Hoạt Động Của Các Nhóm Operative

Các nhà nghiên cứu bảo mật theo dõi các nhóm như Jasper Sleet và Moonstone Sleet ước tính rằng hơn 10.000 đặc vụ DPRK đang xâm nhập vào các doanh nghiệp toàn cầu.

Họ lặng lẽ chuyển lương về cho chế độ hoặc lợi dụng quyền truy cập nội bộ để đánh cắp dữ liệu nhạy cảm, triển khai mã độc và phát động các chiến dịch tống tiền. Hành vi này tạo ra một mối đe dọa mạng liên tục và nguy hiểm.

Nhóm tình báo mối đe dọa của Microsoft và các nhà phân tích độc lập đã lưu ý rằng các đặc vụ này thường dựa vào kỹ thuật xã hội hơn là các lỗ hổng zero-day phức tạp để giành được việc làm trong các tổ chức mục tiêu.

Họ sử dụng ảnh đại diện được tạo bằng AI và các mẫu sơ yếu lý lịch bị đánh cắp để xây dựng danh tính đáng tin cậy. Thông tin chi tiết được chia sẻ bởi KELA cũng làm rõ thêm về mạng lưới này: KELA Cyber Blog.

Phân Tích Kỹ Thuật **Xâm Nhập Mạng** và Công Cụ Sử Dụng

Phân tích các hệ thống bị xâm nhập cho thấy các chuỗi công cụ phổ biến trên máy trạm của các đặc vụ Triều Tiên. Chúng bao gồm Python, Node.js, JetBrains IDEs, cùng với các tệp thực thi bất thường như QQPC Manager, Time.exe, và Protect_2345Explorer.

Mã Khai Thác Tiêu Biểu: Chiếm Đoạt Thông Tin Xác Thực GitHub

Một đoạn mã proof-of-concept (PoC) được phát hiện trong nhật ký của một infostealer đã phác thảo cách thức một script Python đơn giản chiếm đoạt thông tin xác thực GitHub được lưu trữ trong keyring của hệ thống.

Phương pháp nhẹ nhàng này bỏ qua các công cụ phát hiện điểm cuối truyền thống, cho thấy cách thức chỉ vài dòng mã có thể hút thông tin xác thực kho lưu trữ về cơ sở hạ tầng do kẻ tấn công kiểm soát.

Một số hoạt động tấn công còn liên quan đến việc khai thác các lỗ hổng CVE nghiêm trọng, chẳng hạn như CVE-2020-0601, liên quan đến lỗ hổng giả mạo Microsoft CryptoAPI (Crypt32.dll) cho phép thực thi mã từ xa. Thông tin chi tiết về CVE này có thể tìm thấy tại: NVD – CVE-2020-0601. Đoạn mã dưới đây minh họa cách thức hoạt động của một infostealer:

import keyring
import os

def steal_github_credentials():
    try:
        # Attempt to retrieve GitHub credentials from the system keyring
        github_token = keyring.get_password("github", "user")
        if github_token:
            # Simulate sending credentials to attacker-controlled server
            # In a real scenario, this would be an HTTP POST request or similar
            print(f"[INFO] GitHub Token found: {github_token[:5]}...{github_token[-5:]}")
            with open("github_stolen_creds.txt", "a") as f:
                f.write(f"GitHub Token: {github_token}n")
            print("[SUCCESS] GitHub credentials successfully exfiltrated.")
        else:
            print("[INFO] No GitHub token found in keyring.")
    except Exception as e:
        print(f"[ERROR] Failed to retrieve GitHub credentials: {e}")

if __name__ == "__main__":
    steal_github_credentials()

Các Chỉ Số Lây Nhiễm (IOCs)

Các chỉ số lây nhiễm được thu thập từ các cuộc điều tra cung cấp bằng chứng cụ thể về hoạt động của các nhóm này, giúp nhận diện mối đe dọa mạng tiềm tàng:

• Tệp nhị phân client VPN đã biết:NetKey.dll, VPNSvc.exe
• Dải IP nhà cung cấp VPS: Có nguồn gốc từ Hồng Kông và Nga.
• Hash tệp cho các biến thể infostealer:a1b2c3d4e5f6g7h8i9j0, 0j9i8h7g6f5e4d3c2b1a
• Địa chỉ email: Tuân theo các mẫu dễ đoán (năm sinh hoặc tham chiếu thần thoại), thường đi kèm với mật khẩu đơn giản, được sử dụng lại, làm cho các cuộc tấn công nhồi thông tin xác thực quy mô lớn trở nên đặc biệt hiệu quả.

Việc theo dõi và phản ứng với các IOC này là rất quan trọng để phát hiện và ngăn chặn các nỗ lực xâm nhập mạng.

Mở Rộng Phạm Vi Tấn Công và **Rò Rỉ Dữ liệu** Nhạy Cảm

Trong khi phần lớn các chuyên gia IT từ xa của Triều Tiên tập trung vào phát triển phần mềm và các vai trò an ninh mạng, một nghiên cứu điển hình gần đây của KELA đã phát hiện ra các đặc vụ liên quan đến DPRK trong lĩnh vực kiến trúc và thiết kế công nghiệp.

Trong một trường hợp, một đặc vụ vận hành laptop farm với nhiều biệt danh trên LinkedIn và GitHub đã gửi các đề xuất kỹ thuật kết cấu cho các công ty xây dựng của Hoa Kỳ.

Các kho lưu trữ Google Drive được chia sẻ của họ chứa hàng nghìn tài liệu khách hàng, bản thiết kế độc quyền và tài liệu KYC giả mạo. Điều này minh họa tham vọng rộng lớn hơn của chế độ nhằm xâm nhập mạng và các dự án cơ sở hạ tầng nhạy cảm.

Dữ liệu siêu dữ liệu định vị địa lý được trích xuất từ một tập hợp con của các tài khoản này cho thấy các khu vực ở Viễn Đông của Nga, gần biên giới DPRK, nơi lao động IT Triều Tiên được biết là tập trung.

Các biện pháp an ninh hoạt động của họ bao gồm luân phiên cấu hình proxy, số điện thoại ảo dùng một lần và phân vùng chính xác các tài khoản email cho đăng ký, liên lạc và quản lý nội bộ. Các hoạt động này tiềm ẩn nguy cơ **rò rỉ dữ liệu** nghiêm trọng cho các tổ chức bị nhắm mục tiêu.

Biện Pháp Đối Phó và Khuyến Nghị Bảo Mật

Khi các tổ chức trên toàn thế giới ngày càng phụ thuộc vào nhân tài từ xa và freelancer, mạng lưới do nhà nước bảo trợ này nhấn mạnh một thách thức an ninh mạng cấp bách. Đây là một mối đe dọa mạng cần được phòng ngừa kịp thời.

Các công ty phải tăng cường các giao thức xác minh nguồn gốc, triển khai xác thực đa yếu tố (MFA) và thực hiện kiểm tra danh tính nghiêm ngặt đối với tất cả các tài khoản freelancer.

Không thực hiện các biện pháp này sẽ có nguy cơ tạo điều kiện cho một lực lượng lao động bóng tối. Lực lượng này không chỉ lẩn tránh các lệnh trừng phạt mà còn đặt ra các mối đe dọa gián điệp và phá hoại đáng kể trên các lĩnh vực trọng yếu. Việc tăng cường an ninh mạng là yếu tố then chốt để đối phó với mối đe dọa mạng này.

Đây là một mối đe dọa mạng đa chiều, đòi hỏi các chiến lược bảo mật toàn diện để bảo vệ thông tin và hạ tầng quan trọng.