Triều Tiên và tiền điện tử: Chế độ có chịu trách nhiệm cho các vụ tấn công lớn không?

Trong nhiều năm nay, các phương tiện truyền thông định kỳ đưa tin liên quan đến các tin tặc được cho là có hại cho các tin tặc Triều Tiên có vẻ gây bất lợi cho các doanh nghiệp fintech. Nhưng thực tế này có vẻ khá kỳ quặc, khi xem xét rằng Liên minh Viễn thông Quốc tế ước lượng rằng phần trăm dân số thực tế của Cộng hòa Dân chủ Nhân dân Triều Tiên sử dụng Internet gần bằng 0.

Rõ ràng, đó là một môi trường không thuận lợi để nuôi dưỡng các kỹ năng và tham vọng của những tên tội phạm mạng độc ác hay những doanh nhân mạng trung thực. Tuy nhiên, trường hợp của Triều Tiên cho thấy tiền điện tử – được sinh ra với tư cách là quốc gia trung lập và không có chính phủ – có thể được biến thành một vũ khí chiến lược, cùng với nhiều công cụ truyền thống hơn được sử dụng trong cuộc tranh giành quyền lực giữa các quốc gia.

Câu chuyện về hai quốc gia

Khoảng cách phân chia miền Bắc với Hàn Quốc, quốc gia cũng đang xem xét tiền điện tử và ngành công nghiệp blockchain, dường như là rất lớn. Tất cả bán đảo Triều Tiên đều có chung ngôn ngữ, dân tộc và văn hóa. Tuy nhiên, nó đã bị chia đôi do hậu quả của một cuộc chiến tranh tàn khốc.

Liên quan: Legit Vs. Tiền điện tử bất hợp pháp: So sánh phương pháp tiếp cận của Bắc và Nam Hàn

Kể từ đó, miền nam Hàn Quốc bước vào con đường phát triển mà trước tiên là đạt được sự thịnh vượng kinh tế thị trường tự do và sau đó là một nền dân chủ chính thức. Gần đây hơn, Hàn Quốc đã trở thành một trong những quốc gia dẫn đầu cuộc cách mạng blockchain, cho thấy một cách tiếp cận sáng tạo trong các lĩnh vực trải rộng từ công nghệ đến quy định. Trong khi đó, miền Bắc vẫn là một trong những quốc gia cộng sản cuối cùng trên thế giới, nắm đấm sắt được cai trị bởi Dòng máu Núi Paektu và nhà lãnh đạo hiện tại của nó là Kim Jong Un, hậu duệ trực tiếp của người sáng lập chế độ..

Bắc vs Nam Triều Tiên về số lượng

Chế độ CHDCND Triều Tiên đặt mục tiêu giám sát mọi thông tin liên lạc với phần còn lại của thế giới, và thái độ này cũng ảnh hưởng đến cách tiếp cận công nghệ thông tin của nước này. Dữ liệu về quốc gia này thường nằm rải rác và hầu như không được cập nhật; tuy nhiên, tất cả các nguồn dường như xác nhận hình ảnh của một cơ sở hạ tầng công nghệ kém phát triểnkiểm soát chặt chẽ bởi quyền lực trung ương.

Quyền truy cập Internet bị hạn chế đối với một tầng lớp nhỏ có đặc quyền, những người này, nhờ có mối liên hệ với chế độ, cũng có thể được hưởng hợp pháp hoặc bất hợp pháp nhập khẩu thiết bị và phần mềm cập nhật. Có thể nhận ra một hồ sơ tương tự trong một số ít người dùng internet của Triều Tiên định cư ở nước ngoài – chẳng hạn như Trung Quốc hoặc Ấn Độ – những người có quyền truy cập trực tiếp vào các nguồn địa phương cấp trên.

Do đó, thật hợp lý khi đọc tất cả sự hiện diện của Triều Tiên trong thế giới tiền điện tử – hay nói rộng hơn là trên internet – như là con đẻ trực tiếp của chính sách của chính phủ trung ương hoặc ít nhất là những sáng kiến ​​nhận được sự ủng hộ của quyền lực trung ương.

Giấy phép để hack

Để hiểu cách Triều Tiên là một "nghĩa bóng," Thực tế là CHDCND Triều Tiên chưa bao giờ bình thường hóa quan hệ với phần còn lại của thế giới – và cụ thể là với Hoa Kỳ – cần được tính đến. Hơn nữa, kể từ khi 1992, Mỹ đã áp đặt nhiều lệnh trừng phạt đối với CHDCND Triều Tiên trong nỗ lực buộc chính quyền Triều Tiên từ bỏ chương trình hạt nhân quân sự và các hoạt động phổ biến tên lửa liên quan.

Năm 2006, Hội đồng Bảo an Liên hợp quốc đã phản ứng trước vụ thử vũ khí nguyên tử đầu tiên của CHDCND Triều Tiên bằng cách thông qua một số nghị quyết nhằm ngăn chặn cả nhập khẩu và xuất khẩu sang Triều Tiên của bất kỳ quốc gia thành viên nào của Liên Hợp Quốc. Do đó, hoạt động tấn công dữ dội – và rất có thể được chính phủ tài trợ – của Triều Tiên, vừa là một vũ khí nhằm tạo áp lực lên các quận đối thủ vừa là một phương tiện thu thập các nguồn lực kinh tế.

Mối liên hệ trực tiếp giữa chiến tranh mạng và trừng phạt kinh tế có vẻ khá tuyến tính. Các chuyên gia báo cáo Triều Tiên đã sử dụng các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào các mục tiêu của Hàn Quốc kể từ tháng 7 năm 2009, trong khi trong năm sau đó, tin tặc tập trung vào ngành ngân hàng và các tổ chức quốc tế. Ví dụ: Sony Pictures Entertainment là bị tấn công vào năm 2014 và sau đó là Bắc Triều Tiên gần như bị cướp mạng Ngân hàng Trung ương Bangladesh năm 2016.

Kể từ năm 2017, chính phủ Hoa Kỳ dán nhãn hoạt động mạng độc hại được cho là do CHDCND Triều Tiên tài trợ là Rắn hổ mang ẩn và giám sát chặt chẽ các nỗ lực hack. Vào thời điểm đó, lần đầu tiên tin tặc Triều Tiên tham gia vào cộng đồng tiền điện tử.

Phương tiện truyền thông lần đầu tiên báo cáo những nghi ngờ về sự tham gia của cấu trúc gián điệp của Triều Tiên trong vụ vi phạm an ninh của sàn giao dịch Bithumb của Hàn Quốc, với vụ trộm khoảng 7 triệu đô la tiền điện tử, diễn ra vào tháng 2 năm 2017.

Vào tháng 5/2017, phần mềm tống tiền khét tiếng mang nhãn WannaCry đã tấn công hàng nghìn máy tính ở 150 quốc gia. Bất chấp một số nguồn tin kết nối phần mềm độc hại với tin tặc Trung Quốc, Nhà Trắng chính thức quy kết cuộc tấn công mạng nhằm vào chế độ Bắc Triều Tiên vào tháng 12 năm 2017.

Sau chiến dịch ransomware, kể từ mùa hè năm 2017, tin tặc Triều Tiên dường như tăng cường hoạt động chống lại ngành công nghiệp fintech của Hàn Quốc, khiến Cơ quan An ninh và Internet Hàn Quốc (KISA) lo ngại. Mặc dù vậy, tội phạm mạng được cho là do CHDCND Triều Tiên hỗ trợ đã thực hiện thành công các vụ trộm sàn giao dịch quy mô lớn khác vào tháng 12 năm 2017, tấn công các dịch vụ Youbit của Hàn Quốc, đánh cắp 1/5 tiền của người dùng và khiến công ty phá sản..

Liên quan: Vòng tròn các vụ tấn công sàn giao dịch tiền điện tử cho đến nay vào năm 2019 – Làm cách nào để ngăn chặn chúng?

Các vi phạm đáng kể khác liên quan đến các công ty Hàn Quốc trong những tháng tiếp theo, ngay cả khi việc phân bổ đối với các nhóm Bắc Triều Tiên không phải lúc nào cũng rõ ràng. Ví dụ: thủ phạm của vụ vi phạm Coinrail, trong đó khoảng 40 triệu đô la tiền điện tử đã bị đánh cắp vào tháng 6 năm 2018, vẫn ẩn danh. Bithumb lại bị tấn công vào tháng 3 năm 2019, với khoảng 19 triệu đô la bị mất tích. Tuy nhiên, vẫn chưa rõ đây là một công việc nội bộ hay thủ phạm có liên hệ với CHDCND Triều Tiên. Mặt khác, các chuyên gia an ninh Hàn Quốc khá tích cực rằng CHDCND Triều Tiên đứng sau chiến dịch lừa đảo nhắm mục tiêu vào UPbit vào tháng 5 năm 2019.

Vì mô tả của mỗi lần tấn công luôn không rõ ràng, nên ước tính về chiến lợi phẩm do các tin tặc Triều Tiên thu thập được là không chắc chắn. Các tài liệu của Hội đồng Bảo an Liên Hợp Quốc bị rò rỉ vào tháng 3 năm 2019 đã tính toán rằng hoạt động hack do CHDCND Triều Tiên tài trợ từ năm 2015 đến năm 2018 đã tích lũy được khoảng 670 triệu USD. Một báo cáo gần đây hơn từ các tài khoản cùng nguồn tuyên bố rằng 2 tỷ đô la tiền điện tử đã bị tin tặc Triều Tiên đánh cắp từ các ngân hàng và sàn giao dịch tiền điện tử, chiếm 7% GDP hàng năm của đất nước. Liên hợp quốc hiện đang điều tra 35 vụ tấn công liên quan đến 17 quốc gia, mặc dù hầu hết đều liên quan đến các mục tiêu của Hàn Quốc.

Lazarus đứng dậy và đi bộ (có thể vào tù)

Những tháng cuối năm 2017, Các chuyên gia từ công ty nghiên cứu bảo mật FireEye đã nhận thấy rằng các cuộc tấn công do Triều Tiên tài trợ được ghi lại trong năm đó cho thấy những đặc điểm khác biệt so với các hoạt động trước đó. Báo cáo của FireEye đã giải thích lựa chọn nhắm mục tiêu vào các ví cá nhân và các sàn giao dịch tiền điện tử là một khả năng "các phương tiện trốn tránh các lệnh trừng phạt và kiếm được đồng tiền cứng để tài trợ cho chế độ."

Đó là hậu quả trực tiếp của việc tăng tỷ giá hối đoái tiền điện tử so với tiền điện tử trên thị trường và báo cáo kết luận rằng "Không có gì ngạc nhiên khi tiền điện tử, với tư cách là một loại tài sản mới nổi, đang trở thành mục tiêu quan tâm của một chế độ hoạt động theo nhiều cách như một doanh nghiệp tội phạm."

Chiến lược hoạt động của tin tặc dựa vào trò lừa đảo trực tuyến, một cuộc tấn công nhắm vào địa chỉ email riêng tư của nhân viên tại các sàn giao dịch tiền kỹ thuật số, sử dụng các tin nhắn giả để triển khai phần mềm độc hại, cho phép tin tặc kiểm soát cơ sở hạ tầng CNTT của một công ty..

Phân tích được tiến hành trong suốt năm 2018 và kết nối nhiều cuộc tấn công với một nhóm duy nhất, tự nhận mình là Lazarus (hay còn gọi là DarkSeol). Công ty an ninh mạng Group-IB đã quy khoảng 65% giá trị bị đánh cắp từ các sàn giao dịch tiền điện tử từ đầu năm 2017 đến cuối năm 2018 cho Lazarus. Phần chính của tài sản mà Lazarus bị tịch thu – 534 triệu đô la trong số 571 triệu đô la – đến từ một vụ cướp mạng duy nhất, vi phạm an ninh của sàn giao dịch Coincheck của Nhật Bản, vào tháng 1 năm 2018.

Các cuộc tấn công thành công liên quan đến các mục tiêu của Hàn Quốc hoặc Lazarus 2017—2018

Các báo cáo rộng rãi trên Lazarus do Group-IB sản xuất tiết lộ mối liên hệ giữa nhóm và các địa chỉ IP đề cập đến cơ quan quân sự cao nhất của Triều Tiên. Công ty an ninh nói rằng Lazarus có thể là một chi nhánh của Cục 121, một bộ phận của Tổng cục Trinh sát, một cơ quan tình báo CHDCND Triều Tiên. Hoạt động của nó có lẽ đã bắt đầu từ năm 2016.

Các nhà phân tích của Group-IB đã phát hiện ra một chiến lược rất tinh vi dựa trên các cuộc tấn công có chọn lọc và việc triển khai cấu trúc máy chủ nhiều lớp độc hại bên trong các cơ sở hạ tầng bị xâm phạm. Bên cạnh đó, tin tặc Triều Tiên đã phát triển một bộ công cụ mô-đun để kiểm soát từ xa các máy tính bị nhiễm virus. Giải pháp này vừa làm phức tạp việc phát hiện phần mềm độc hại vừa cung cấp thêm tính linh hoạt, theo đó các phần mềm có thể được tái sử dụng hoặc kết hợp để nhắm mục tiêu vào các công ty cụ thể, cho phép tin tặc phân chia hoạt động phát triển giữa các nhóm..

Vào mùa xuân năm 2019, công ty an ninh mạng và chống vi-rút Kaspersky Lab đã báo cáo sự phát triển của hộp công cụ của Lazarus, hiện bao gồm cả phần mềm độc hại Windows và macOS, cho phép các tập lệnh PowerShell độc hại trong các cơ sở hạ tầng được nhắm mục tiêu.

Hãy để tâm trí của bạn đi; hãy để bản thân được tự do

Mục tiêu thực sự của tin tặc Triều Tiên có lẽ là hai mặt: Một mặt, các cuộc tấn công của họ nhằm phá hoại cơ sở hạ tầng CNTT của các quốc gia được coi là đối thủ. Mặt khác, họ cố gắng nắm giữ tiền tệ cứng – hoặc tài sản về mặt lý thuyết có thể chuyển đổi bằng tiền tệ cứng – nằm ngoài giới hạn do cộng đồng quốc tế áp đặt. Mục tiêu thứ hai cũng giải thích cho nỗ lực khai thác quy mô nhỏ của CHDCND Triều Tiên mà các nguồn tin Hàn Quốc đã báo cáo, bắt đầu vào cuối mùa xuân năm 2017 nhưng không đạt được thành công nhất định..

Khả năng sử dụng tiền điện tử như một phương tiện tiềm năng để tránh các lệnh trừng phạt tài chính quốc tế thực sự đã được khám phá bởi các quốc gia khác hiện đang bị cấm vận kinh tế – ví dụ: Iran cố gắng khai thác và thậm chí tạo ra một mạng lưới chuyển tiền tài chính quốc tế tự trị. Những tham vọng tương tự đã hỗ trợ Petro Venezuela gây tranh cãi, trong khi thái độ của Nga đối với tiền điện tử cũng sẽ bị ảnh hưởng bởi vấn đề trừng phạt quốc tế, sau cuộc khủng hoảng Crimea.

Liên quan: Đồng Petro của Venezuela chống lại các lệnh trừng phạt của Hoa Kỳ: Lịch sử và việc sử dụng tiền điện tử

Tuy nhiên, bất chấp những thiệt hại nghiêm trọng về danh tiếng mà hiệp hội "giả mạo" các chế độ hoặc các nhóm khủng bố đưa tiền điện tử vào sử dụng tiền điện tử, khả năng sử dụng thực tế của tiền điện tử để tránh các quy định quốc tế, ít nhất là không rõ ràng.

Ví dụ, trường hợp của Triều Tiên cho thấy con đường chuyển giao và chuyển đổi tiền điện tử đến từ các hoạt động khai thác địa phương hoặc bất hợp pháp sẽ trở nên khó khăn như thế nào. Bên cạnh đó, kết quả kinh tế thực tế của các chiến dịch ransomware khét tiếng nhất dường như thấp hơn rất nhiều so với sự cộng hưởng của chúng trên các phương tiện truyền thông, trong khi các sàn giao dịch tiền điện tử đã hợp tác với nhau để ngăn chặn việc chuyển đổi sang fiat của các tài sản bị đánh cắp trong các cuộc tấn công thành công nhất.

Thật vậy, các tin tặc Triều Tiên dường như đã trải qua một số khó khăn ảnh hưởng đến các hoạt động tiền điện tử licit về quyền riêng tư và việc chấp nhận. Vì lý do này, một số chuyên gia bảo mật đã giải thích các hoạt động được tài trợ của CHDCND Triều Tiên chống lại ngành công nghiệp tiền điện tử nhiều hơn như một phương tiện để xác định các mục tiêu hoặc thông tin bổ sung có thể cho phép hoạt động chống lại các tổ chức tài chính truyền thống trong "thế giới fiat," thay vì cướp tiền điện tử làm mục tiêu chính.

Bất chấp kết quả kinh tế thực tế của nó, trường hợp của Triều Tiên có lẽ là ví dụ tiêu cực nhất về một chế độ tiếp cận tiền điện tử để theo đuổi những lợi thế tương tự ở cấp chính phủ mà nó phủ nhận đối với công dân của mình ở cấp độ cá nhân. Không có mâu thuẫn nào quá rõ ràng như ở CHDCND Triều Tiên, nơi tiền điện tử là một nguồn tài nguyên liên quan được phát triển bên trong kho vũ khí của nhà nước trong khi người dân nói chung thiếu kiến ​​thức cơ bản về chúng và thậm chí về khả năng truy cập internet.

Tiền thân của Internet, ARPANET, là đã phát triển trong những năm 1960, để cung cấp một phương tiện liên lạc đáng tin cậy trong Bộ Quốc phòng Hoa Kỳ trong trường hợp xảy ra chiến tranh hạt nhân. Sự phát triển của nó thành một cơ sở hạ tầng toàn cầu, quốc gia trung lập và dân chủ dường như khó có thể dự đoán được.

Mặt khác, tiền điện tử được sinh ra từ sự tự do trong khi trường hợp của Triều Tiên cho thấy rõ ràng cách chúng có thể trở thành một vũ khí có thể quản lý được trong tay của một chế độ độc tài..

Các thể chế, xã hội và môi trường kinh tế xung quanh, một lần nữa, có vẻ phù hợp hơn kiến ​​trúc công nghệ để xác định con đường phát triển của đổi mới đột phá.