Nhóm Lazarus của Triều Tiên đã đăng ký các công ty giả mạo của Hoa Kỳ để nhắm vào các nhà phát triển tiền điện tử

• Lazarus Group đã đăng ký các công ty giả mạo tại Hoa Kỳ để phân phối phần mềm độc hại cho các nhà phát triển tiền điện tử dưới chiêu bài tuyển dụng việc làm.
• Phần mềm độc hại được nhúng trong các bài kiểm tra mã hóa được gửi qua các nền tảng hợp pháp như LinkedIn, Upwork và Telegram.
• Chính quyền Hoa Kỳ xác nhận chiến dịch này có liên quan đến nỗ lực lớn hơn của Triều Tiên nhằm tài trợ cho chương trình vũ khí bị trừng phạt của nước này.

Theo Reuters, tin tặc Triều Tiên đã tạo ra các công ty giả mạo tại Hoa Kỳ để triển khai các lời mời làm việc có chứa phần mềm độc hại trong các chiến dịch gián điệp doanh nghiệp.

Lazarus sử dụng các công ty giả mạo để phát động các cuộc tấn công phần mềm độc hại vào các nhà phát triển tiền điện tử

Theo một cuộc điều tra gần đây do FBI hỗ trợ, Tập đoàn Lazarus, đơn vị an ninh mạng do nhà nước Triều Tiên hậu thuẫn, đã thành lập nhiều công ty giả được đăng ký tại Hoa Kỳ để dụ các nhà phát triển blockchain tải xuống phần mềm độc hại.

Các thực thể như Blocknovas LLC và Softglide LLC , được đăng ký lần lượt tại New Mexico và New York, đóng vai trò là mặt trận chính cho hoạt động này. Các nhà nghiên cứu tại công ty an ninh mạng Silent Push đã xác nhận các công ty này được thành lập bằng cách sử dụng danh tính giả và địa chỉ giả, cùng với các trang web chuyên nghiệp và danh sách việc làm trên các nền tảng như LinkedIn và Upwork.

Chiến dịch độc hại nhắm vào các kỹ sư phần mềm trong không gian tiền điện tử và Web3. Khi ứng viên tương tác với những nhà tuyển dụng giả mạo, họ được mời phỏng vấn giả và được gửi "bài tập kiểm tra". Các tệp này chứa phần mềm độc hại được nhúng vào được thiết kế để trích xuất thông tin xác thực trình duyệt, khóa riêng tư và thông tin chi tiết về quyền truy cập ví từ thiết bị của nạn nhân.

Kasey Best, Giám đốc Tình báo về mối đe dọa tại Silent Push, cho biết: "Đây là trường hợp đầu tiên được xác nhận về các tác nhân Triều Tiên hợp nhất các thực thể của Hoa Kỳ để đạt được tính hợp pháp trong hoạt động".

Theo Reuters, hoạt động này bị phát hiện khi Silent Push xác định được mối liên hệ giữa cơ sở hạ tầng kỹ thuật số của các công ty bình phong và các chủng phần mềm độc hại Lazarus đã biết trước đó.

Cục Điều tra Liên bang (FBI) đã tịch thu tên miền của Blocknovas như một phần trong nỗ lực thực thi pháp luật tích cực chống lại các tác nhân mạng của Triều Tiên.

Trộm cắp tiền điện tử tài trợ cho hoạt động gián điệp và nỗ lực tên lửa của Triều Tiên

Các nhà điều tra ước tính rằng hàng trăm nhà phát triển đã bị nhắm mục tiêu bởi hoạt động này, với một số vụ nhiễm trùng gây ra nhiều thiệt hại hơn là tổn thất về tài chính. Bằng chứng cho thấy rằng quyền truy cập có được thông qua các phần mềm độc hại này có thể đã được chuyển cho các nhóm DPRK khác có liên kết với nhà nước để sử dụng cho mục đích gián điệp tiềm ẩn.

Một quan chức cấp cao của FBI cho biết trong một tuyên bố: "Những nỗ lực của chúng tôi tập trung vào việc áp đặt hậu quả không chỉ đối với các tác nhân là CHDCND Triều Tiên mà còn đối với bất kỳ ai tạo điều kiện cho họ thực hiện những âm mưu này".

Các cơ quan tình báo Hoa Kỳ và Hàn Quốc tin rằng hàng nghìn nhân viên CNTT Triều Tiên hoạt động trên toàn cầu, thường dưới danh tính giả, để tạo ra vốn cho chương trình phát triển vũ khí của Bình Nhưỡng. Một báo cáo của Liên hợp quốc năm 2023 ước tính rằng thu nhập từ tội phạm mạng của Triều Tiên đóng góp trực tiếp vào chương trình tên lửa hạt nhân của nước này.

Ibrahim Ajibade