Bằng chứng từ công ty an ninh mạng McAfee cho thấy một nhóm tin tặc Triều Tiên đã hoạt động trở lại để kiếm ngoại tệ về cho nước này, trong bối cảnh trừng phạt ngày càng được siết chặt.
McAfee vào giữa tháng 1.2018 đã phát hiện một đường liên kết dẫn đến một tập tin giả mạo là tài liệu tuyển dụng nhân viênđược gửi đến những tổ chức tài chính và người dùng tiền ảo ở nhiều nước. Khi có người mở tài liệu này, mã độc đi kèm theo sẽ tự kích hoạt.
Qua phân tích, McAfee phát hiện tập tin giả này có nhiều đặc tính giống với loại mà một nhóm tin tặc mang tên Lazarus sử dụng để xâm nhập rồi lấy đi dữ liệu của hàng loạt tổ chức tài chính và công ty quốc phòng trong tháng 10.2017
Chính phủ Mỹ từng cáo buộc Lazarus là kẻ chịu trách nhiệm về các cuộc tấn công mạng toàn cầu tháng 5.2017, dùng mã độc tống tiền (ransomware) khiến nhiều dữ liệu máy tính bị chặn truy cập.
Khi các biện pháp trừng phạt quốc tế đang được siết chặt hơn bao giờ, Triều Tiên đang lâm vào tình trạng thiếu nguồn ngoại tệ. Vì vậy, tuy thể hiện hình ảnh là một nước thân thiện về mặt ngoại giao ở Olympic mùa đông 2018 nhưng Bình Nhưỡng ở phía sau đang tiếp tục tổ chức tấn công mạng để kiếm ngoại tệ.
Ông Kim Heung-kwang, cựu giảng viên khoa học máy tính ở một trường đại học ở Triều Tiên và hiện là người đứng đầu tổ chức Đoàn kết trí thức Triều Tiên (NKIS), cho biết Lazarus trực thuộc Đơn vị 180 của Tổng cục Trinh sát (Reconnaissance General Bureau), một cơ quan tình báo của quân đội Bình Nhưỡng.
Đơn vị 180 được thành lập năm 2013. Theo ông Kim Heung-kwang, lực lượng này có khoảng 500 thành viên, làm nhiệm vụ kiếm ngoại tệ cho chương trình phát triển tên lửa đạn đạo và vũ khí hạt nhân.
Cơ quan tình báo Hàn Quốc tin rằng vụ tấn công sàn giao dịch tiền ảo Coincheck (Nhật Bản), lấy cắp số tiền ảo NEM có tổng giá trị khoảng 534 triệu USD là do Đơn vị 180 thực hiện.
Mối đe dọa từ Đơn vị 180 có hai hình thức. Một là xâm nhập để lấy cắp tiền, hai là cài đặt những phần mềm độc hại thông qua các công ty phát triển phần mềm ở Nhật Bản và Trung Quốc.
Tại Nhật, có nhiều cá nhân và công ty có vẻ như không có liên hệ gì với Triều Tiên chấp nhận các đơn đặt hàng lập trình qua một trang web. Những đối tượng này nhận đơn hàng với mức giá thấp và huy động những lập trình viên của Đơn vị 180 ở Triều Tiên và Trung Quốc. Phần lớn những chương trình các đối tượng tạo ra được dùng trong đồ gia dụng và thiết bị công nghiệp.
Ông Kim Heung-kwang cho hay rất có khả năng những chương trình đều có “backdoor”, các mã độc cho phép điều khiển thiết bị từ xa cho nhiều mục đích khác nhau. Điều này đặt ra nguy cơ trong các trường hợp căng thẳng như xảy ra xung đột quân sự, Triều Tiên sẽ gây ra sự tàn phá ở Nhật Bản bằng cách thao túng những thiết bị bị nhiễm mã backdoor.
Cẩm Bình (theo Nikkei Asian Review)