Hãy cẩn thận! Các nhân viên CNTT Bắc Triều Tiên lợi dụng làm việc từ xa để xâm nhập vào các tổ chức toàn cầu
Mối đe dọa từ hoạt động xâm nhập mạng của Triều Tiên không còn chỉ là mối lo ngại của riêng nước Mỹ nữa — giờ đây đã trở thành một cuộc khủng hoảng toàn cầu. Theo những phát hiện mới từ Nhóm tình báo về mối đe dọa (GTIG) của Google, các điệp viên từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đang mở rộng dấu ấn mạng của họ trên khắp châu Âu và xa hơn nữa, tận dụng các nền tảng làm việc từ xa, danh tính giả và các chiến thuật ngày càng hung hăng như tống tiền. Những gì bắt đầu như một hoạt động bí mật đã phát triển thành một mạng lưới quốc tế rộng lớn được thiết kế để rút tiền và thông tin dưới radar.
Mục lục
Một cuộc xâm lược thầm lặng của lực lượng lao động toàn cầu
Các nhân viên CNTT của Triều Tiên đang lợi dụng nhu cầu toàn cầu về nhân viên công nghệ từ xa. Bằng cách đóng giả là những người làm việc tự do lành nghề từ các quốc gia như Nhật Bản, Malaysia, Ukraine, Việt Nam và thậm chí là Hoa Kỳ, những cá nhân này đã đảm bảo được các hợp đồng hợp pháp thông qua các nền tảng như Upwork, Freelancer và Telegram.
Một khi đã vào bên trong, chúng có thể truy cập vào các hệ thống nhạy cảm và đôi khi thậm chí xử lý cả cơ sở hạ tầng quan trọng như hệ thống quản lý nội dung (CMS), bot web và ứng dụng blockchain. Những kẻ điều hành này thường hoạt động dưới nhiều danh tính—đôi khi lên đến hàng chục danh tính cho mỗi cá nhân—với mỗi danh tính đóng vai trò là tham chiếu cho những danh tính khác. Trong một trường hợp, một nhân viên duy nhất có liên hệ với CHDCND Triều Tiên đã quản lý 12 danh tính riêng biệt trên khắp Hoa Kỳ và Châu Âu, mỗi danh tính được thiết kế riêng để đánh lừa các nhà tuyển dụng và nền tảng tuyển dụng.
Châu Âu trong tầm ngắm
Trong khi Hoa Kỳ vẫn là mục tiêu chính, việc giám sát pháp lý ngày càng tăng và các biện pháp xác minh quyền làm việc được tăng cường đang thúc đẩy các hoạt động của CHDCND Triều Tiên mở rộng sâu hơn vào các thị trường châu Âu. Đức, Bồ Đào Nha và Vương quốc Anh đều đã báo cáo các trường hợp xâm nhập, với một số công nhân tham gia vào các dự án phát triển AI và tích hợp blockchain—các lĩnh vực thường cấp quyền truy cập hệ thống rộng rãi và xử lý các cơ sở mã độc quyền hoặc nhạy cảm.
Ở Anh, những kẻ xâm nhập thậm chí còn có liên quan đến việc sử dụng sai mục đích cơ sở hạ tầng của công ty, chẳng hạn như sử dụng máy tính xách tay dành cho các văn phòng tại Hoa Kỳ từ các địa điểm ở London. Các hoạt động này thường được hỗ trợ bởi những người hỗ trợ địa phương hoặc quốc tế, những người giúp che giấu danh tính và nguồn gốc của các nhân viên CNTT. GTIG lưu ý việc phát hiện ra thông tin liên lạc của những kẻ môi giới giao dịch hộ chiếu gian lận, nhấn mạnh mức độ có nguồn lực và tổ chức tốt của chương trình này.
Sự gia tăng của tống tiền: Một chiến thuật mới đáng báo động
Từ cuối tháng 10 năm 2024, một lớp rủi ro mới đã xuất hiện. Với việc thực thi pháp luật của Hoa Kỳ đang đàn áp - tình trạng gián đoạn và cáo trạng đang gia tăng - một số công nhân có liên quan đến CHDCND Triều Tiên đang chuyển sang tống tiền như một nguồn thu nhập dự phòng. Các chiến thuật này rất đáng sợ: sau khi bị chấm dứt hoặc cảm thấy bị phát hiện, các đặc vụ đe dọa sẽ rò rỉ dữ liệu nhạy cảm, bao gồm mã nguồn và thông tin quan trọng đối với doanh nghiệp.
Các nhà nghiên cứu của GTIG tin rằng áp lực lên những người hoạt động này đang buộc phải thay đổi hành vi—từ trộm dữ liệu lén lút sang cưỡng ép tài chính hung hăng. Sự thay đổi này đánh dấu sự leo thang đáng lo ngại trong cách tiếp cận của Triều Tiên đối với hoạt động gián điệp mạng và tội phạm kỹ thuật số.
Hướng đến nơi làm việc BYOD
Chiến lược của CHDCND Triều Tiên cũng đã thích nghi với thực tế làm việc từ xa. GTIG đưa tin rằng các điệp viên Triều Tiên ngày càng nhắm mục tiêu vào các công ty có chính sách Mang theo thiết bị cá nhân (BYOD). Các tổ chức này, cố gắng cắt giảm chi phí bằng cách không cấp máy tính xách tay cho công ty, vô tình tạo điều kiện cho những người làm việc tự do có ác ý hoạt động dễ dàng hơn với ít sự giám sát.
Lỗ hổng này còn trầm trọng hơn khi sử dụng tiền điện tử và các nền tảng thanh toán kỹ thuật số như Payoneer, giúp che giấu nguồn gốc và đích đến của tiền. Đây là một hệ thống được xây dựng cẩn thận nhằm khai thác những điểm yếu nhất trong các biện pháp phòng thủ an ninh mạng toàn cầu—lòng tin của con người, quyền truy cập từ xa và các hệ thống phi tập trung.
Hệ sinh thái toàn cầu của sự lừa dối
Phạm vi hoạt động của CHDCND Triều Tiên cho thấy cơ sở hạ tầng toàn cầu đang phát triển nhanh chóng, hoàn chỉnh với các mạng lưới hỗ trợ nhiều lớp, các nhà môi giới danh tính giả và các hệ thống rửa tiền. Những phát hiện mới nhất của GTIG nhấn mạnh mức độ nhanh nhẹn và nguy hiểm của những tác nhân này.
“Để ứng phó với nhận thức ngày càng cao về mối đe dọa trong phạm vi Hoa Kỳ, [nhân viên CNTT của CHDCND Triều Tiên] đã thiết lập một hệ sinh thái toàn cầu về các nhân vật gian lận để tăng cường sự nhanh nhẹn trong hoạt động”, GTIG tuyên bố. Khả năng chuyển đổi hoạt động nhanh chóng qua biên giới trong khi vẫn duy trì dòng doanh thu ổn định là mối quan tâm nghiêm trọng đối với các tổ chức trên toàn thế giới.
Các tổ chức có thể làm gì?
- Thắt chặt xác minh danh tính : Triển khai các quy trình xác minh chặt chẽ, nhiều bước để tuyển dụng nhân viên từ xa.
Suy nghĩ cuối cùng
Sự mở rộng toàn cầu của hoạt động xâm nhập CNTT của Triều Tiên không chỉ là vấn đề an ninh mạng mà còn là mối đe dọa về an ninh quốc gia và kinh tế. Khi các chiến thuật của họ trở nên tinh vi hơn, các công ty phải thích ứng với các biện pháp phòng thủ tiên tiến tương đương. Những ngày tháng tuyển dụng tự do từ khắp nơi trên thế giới mà không cần kiểm tra lý lịch kỹ lưỡng đã qua rồi. Cái giá của sự không hành động có thể là việc đánh cắp hoặc biến các tài sản kỹ thuật số quan trọng nhất của bạn thành vũ khí.