Các nhóm hacker Bắc Triều Tiên lợi dụng mạo danh tuyển dụng IT để tấn công hệ thống đám mây, đánh cắp tiền điện tử trị giá 1,6 tỷ USD vào năm 2025.
Nghiên cứu từ Google Cloud và Wiz cho thấy nhóm hacker UNC4899 tiến hành các chiến dịch xâm nhập hệ thống đám mây như Google Cloud và AWS, tấn công các máy chủ giao dịch tiền điện tử bằng kỹ thuật giả mạo nhằm chiếm đoạt tài sản số.
- Nhóm UNC4899 giả mạo tuyển dụng trên mạng social, tấn công hệ thống đám mây và máy chủ giao dịch tiền điện tử.
- Hoạt động tấn công tập trung vào hạ tầng đám mây của các sàn giao dịch, gây thiệt hại lớn như vụ mất 305 triệu USD tại DMM Bitcoin.
- Bắc Triều Tiên tiên phong sử dụng AI để tạo email lừa đảo và mã độc, quy mô nhóm hacker có thể lên tới hàng nghìn người.
Nhóm hacker UNC4899 là ai và họ hoạt động ra sao?
UNC4899 (gọi tắt TraderTraitor) không phải nhóm cụ thể mà là biểu thị một dạng hoạt động tấn công liên quan đến các nhóm hacker Bắc Triều Tiên như Lazarus, APT38, BlueNoroff.
Theo báo cáo từ Google Cloud và Wiz, nhóm giả mạo tuyển dụng trên mạng social để lừa các nhân viên công ty mục tiêu thực thi phần mềm độc hại. Qua đó, họ có thể xâm nhập vào hệ thống đám mây của Google Cloud và AWS nhằm kiểm soát các máy chủ giao dịch tiền điện tử.
Hơn nữa, các nhóm này được cho là đứng sau các vụ tấn công kiểu TraderTraitor phổ biến trong ngành, nổi bật nhất là các chiến dịch do Bắc Triều Tiên bảo trợ.
Chi tiết về phương thức tấn công và những tổn thất liên quan
Phương thức tấn công của nhóm UNC4899 đã phát triển qua các giai đoạn: bắt đầu bằng việc sử dụng JavaScript để tạo các ứng dụng tiền điện tử độc hại từ năm 2020, sau đó dùng lỗ hổng mã nguồn mở vào 2023, và hiện tập trung xâm nhập hệ thống đám mây của các sàn giao dịch năm 2024.
Vụ tấn công gây thiệt hại nghiêm trọng nhất được ghi nhận là làm mất khoảng 305 triệu USD tại sàn giao dịch DMM Bitcoin của Nhật Bản. Điều này cho thấy mức độ nguy hiểm và tinh vi của các cuộc tấn công ngày càng tăng.
Bắc Triều Tiên được coi là những người tiên phong trong việc ứng dụng trí tuệ nhân tạo để tạo email phishing và mã độc phức tạp, giúp chiến dịch tấn công trở nên hiệu quả hơn.
Wiz Security – Báo cáo nghiên cứu năm 2024
Quy mô nhóm hacker được ước tính lên đến hàng nghìn người, cho thấy một tổ chức lớn mạnh với khả năng phối hợp tấn công quy mô toàn cầu nhắm vào ngành tiền điện tử.
Tại sao hệ thống đám mây của các sàn giao dịch tiền điện tử lại là mục tiêu tấn công?
Hệ thống đám mây như Google Cloud, AWS lưu trữ hạ tầng giao dịch và dữ liệu quan trọng của các sàn tiền điện tử, do đó trở thành mục tiêu hấp dẫn cho những nhóm hacker tìm cách chiếm đoạt tài sản kỹ thuật số lớn.
Không những vậy, các nền tảng này thường có số lượng người dùng lớn, tạo điều kiện để hacker mở rộng quy mô tấn công và tận dụng hiệu quả các lỗ hổng bảo mật nếu có. Sự phức tạp của nền tảng đám mây cũng khiến việc phát hiện và ngăn chặn các chiến dịch tấn công trở nên khó khăn hơn.
Những câu hỏi thường gặp
Nhóm UNC4899 hoạt động dưới hình thức nào?
UNC4899 hoạt động dưới dạng nhóm hacker giả mạo tuyển dụng IT để lừa chạy phần mềm độc hại, tấn công hệ thống đám mây và máy chủ giao dịch tiền điện tử.
Thiệt hại nghiêm trọng nhất do nhóm này gây ra là gì?
Nhóm này gây thiệt hại khoảng 305 triệu USD tại sàn DMM Bitcoin, phản ánh quy mô tấn công và nguy cơ lớn với ngành tiền điện tử.
Bắc Triều Tiên sử dụng kỹ thuật nào để nâng cao hiệu quả tấn công?
Họ tiên phong ứng dụng AI để tạo email lừa đảo và mã độc, nâng cao khả năng thâm nhập và tấn công hệ thống đám mây.
Tại sao các hệ thống đám mây là mục tiêu hấp dẫn?
Hệ thống đám mây lưu trữ hạ tầng quan trọng và dữ liệu của sàn giao dịch tiền điện tử, giúp hacker dễ dàng chiếm đoạt tài sản kỹ thuật số và mở rộng phạm vi tấn công.
Quy mô nhóm hacker UNC4899 có lớn không?
Quy mô nhóm được ước tính lên đến hàng nghìn người, cho thấy tổ chức này rất lớn và có khả năng thực hiện nhiều chiến dịch tấn công cùng lúc.