Tin tặc Triều Tiên nhắm mục tiêu vào công ty Mỹ trong vụ cướp tiền điện tử

Một nhóm hack nổi tiếng được Triều Tiên hậu thuẫn gần đây đã xâm nhập vào JumpCloud, một công ty quản lý CNTT của Mỹ có trụ sở tại Louisville, Colorado. Các nguồn tin thân cận với tình huống này tiết lộ rằng các tin tặc sau đó đã sử dụng vi phạm này làm bệ phóng để nhắm mục tiêu sâu hơn vào các công ty xử lý tiền điện tử, nhằm mục đích bòn rút tài sản kỹ thuật số của họ.
Bản chất của cuộc tấn công mạng này thể hiện một chiến lược đang phát triển của các tin tặc Triều Tiên. Trước đây, họ sẽ nhắm mục tiêu riêng lẻ vào các thực thể tiền điện tử; tuy nhiên, phương thức hoạt động của họ giờ đây dường như liên quan đến việc tấn công một công ty cửa ngõ duy nhất có kết nối với nhiều nguồn tiền điện tử.
Phản hồi của JumpCloud
JumpCloud đã thừa nhận vi phạm trong một bài đăng trên blog, cho thấy “tác nhân đe dọa do quốc gia tài trợ” phải chịu trách nhiệm. Tuy nhiên, công ty vẫn kín tiếng khi được hỏi về thủ phạm cụ thể hoặc nhóm khách hàng bị ảnh hưởng. Mặc dù đại diện của JumpCloud xác nhận rằng có ít hơn 5 khách hàng bị ảnh hưởng nhưng vẫn chưa rõ liệu có bất kỳ loại tiền kỹ thuật số nào bị thất thoát trong quá trình vi phạm hay không.
Xác nhận của chuyên gia
CrowdStrike Holdings, một công ty an ninh mạng nổi tiếng, đã chứng thực rằng nhóm được xác định là “Labyrinth Chollima” – một nhóm khét tiếng gồm các đặc vụ mạng của Triều Tiên – đã dàn dựng vụ xâm nhập mạng này. Adam Meyers, Phó chủ tịch cấp cao về tình báo tại CrowdStrike, đã kiềm chế không nêu chi tiết về mục tiêu của tin tặc nhưng đã nhấn mạnh xu hướng lịch sử của chúng là nhắm mục tiêu vào việc nắm giữ tiền điện tử. Ông nhận xét: “Mục tiêu chính của họ dường như xoay quanh việc tài trợ cho chế độ”.
Làm sáng tỏ phương thức hoạt động
Tom Hegel, một nhà nghiên cứu an ninh mạng từ SentinelOne, đã nhấn mạnh sự thay đổi trong cách tiếp cận hack của Triều Tiên. Không trực tiếp tham gia vào cuộc điều tra, Hegel nhấn mạnh cách Triều Tiên đã mài giũa kỹ năng của mình trong “các cuộc tấn công chuỗi cung ứng”. Các chiến lược như vậy liên quan đến việc xâm nhập vào các nhà cung cấp dịch vụ hoặc phần mềm để gián tiếp bòn rút dữ liệu hoặc tiền từ khách hàng của họ. Hegel cảnh báo: “Triều Tiên chắc chắn đang đặt cược nhiều hơn”.
Hơn nữa, Hegel có kế hoạch xuất bản một bài đăng nhấn mạnh cách các manh mối kỹ thuật số do JumpCloud công bố liên kết các tin tặc với các hoạt động thường liên quan đến Triều Tiên.
Phản ứng và bối cảnh
Cả cơ quan giám sát mạng của Hoa Kỳ, CISA và FBI đều từ chối bình luận về vấn đề này.
Vi phạm này tại JumpCloud, một công ty chuyên hỗ trợ quản trị viên mạng, bị phát hiện khi công ty thông báo cho khách hàng rằng thông tin xác thực của họ đã bị thay đổi do “một sự cố”. Sau đó, JumpCloud tiết lộ trong một bài đăng trên blog rằng họ đã truy tìm vi phạm từ ngày 27 tháng 6. Risky Business, một podcast chuyên về an ninh mạng, cũng đã xác định Triều Tiên là nghi phạm chính trong vụ tấn công.
Labyrinth Chollima, nổi tiếng với các hoạt động khai thác mạng táo bạo, là một trong những thực thể hack hàng đầu của Triều Tiên. Lịch sử của họ đầy rẫy những vụ trộm tiền kỹ thuật số quy mô lớn. Trong một tiết lộ đáng kinh ngạc, tổ chức phân tích blockchain Chainalysis đã báo cáo vào năm ngoái rằng tin tặc Triều Tiên đã đánh cắp khoảng 1,7 tỷ USD tiền điện tử trong nhiều hoạt động.
Meyers từ CrowdStrike cảnh báo về việc đánh giá thấp các lữ đoàn mạng của Triều Tiên và dự đoán sẽ có thêm nhiều cuộc tấn công chuỗi cung ứng như vậy từ họ trong tương lai.