VietNetwork.Vn

Những nhân viên công nghệ thông tin (IT) Triều Tiên được tuyển dụng bằng danh tính giả tại các công ty phương Tây không chỉ đánh cắp tài sản trí tuệ mà còn hành động mạnh tay hơn bằng cách đòi tiền chuộc để không làm rò rỉ thông tin, đánh dấu bước ngoặt mới trong các cuộc tấn công có động cơ tài chính của họ.

"Trong một số trường hợp, những công nhân gian lận đã yêu cầu trả tiền chuộc từ chủ cũ của họ sau khi có được quyền truy cập nội bộ, một chiến thuật không được quan sát thấy trong các chương trình trước đó", Secureworks Counter Threat Unit (CTU) cho biết trong một phân tích được công bố trong tuần này. "Trong một trường hợp, một nhà thầu đã đánh cắp dữ liệu độc quyền ngay sau khi bắt đầu làm việc vào giữa năm 2024".

Công ty an ninh mạng cho biết thêm rằng hoạt động này có nhiều điểm tương đồng với một nhóm đe dọa mà họ theo dõi có tên Nickel Tapestry, còn được gọi là Famous Chollima và UNC5267.

Kế hoạch lừa đảo nhân viên CNTT, được dàn dựng với mục đích thúc đẩy lợi ích chiến lược và tài chính của Triều Tiên, đề cập đến một hoạt động đe dọa nội gián liên quan đến việc xâm nhập vào các công ty ở phương Tây để tạo ra doanh thu bất hợp pháp cho quốc gia đang chịu lệnh trừng phạt này.

Những công nhân Bắc Triều Tiên này thường được gửi đến các quốc gia như Trung Quốc và Nga, nơi họ đóng giả là những người làm việc tự do tìm kiếm cơ hội việc làm tiềm năng. Một lựa chọn khác là họ cũng bị phát hiện đánh cắp danh tính của những cá nhân hợp pháp cư trú tại Hoa Kỳ để đạt được cùng mục đích.

Họ cũng được biết đến là những người yêu cầu thay đổi địa chỉ giao hàng cho các máy tính xách tay do công ty cấp, thường chuyển hướng chúng đến những bên trung gian tại các trang trại máy tính xách tay, những bên này được trả công cho những nỗ lực của mình thông qua những bên trung gian ở nước ngoài và chịu trách nhiệm cài đặt phần mềm máy tính từ xa cho phép các diễn viên Triều Tiên kết nối với máy tính.

Hơn nữa, nhiều nhà thầu có thể cùng được một công ty tuyển dụng hoặc một cá nhân có thể đảm nhận nhiều vai trò khác nhau.

Secureworks cho biết họ cũng đã quan sát thấy những trường hợp nhà thầu giả mạo xin phép sử dụng máy tính xách tay cá nhân của họ và thậm chí khiến các tổ chức hủy hoàn toàn lô hàng máy tính xách tay vì họ đã thay đổi địa chỉ giao hàng trong khi đang vận chuyển.


"Hành vi này phù hợp với thủ đoạn của Nickel Tapestry là cố gắng tránh máy tính xách tay của công ty, có khả năng loại bỏ nhu cầu về người hỗ trợ trong nước và hạn chế quyền truy cập vào bằng chứng pháp y", báo cáo cho biết. "Chiến thuật này cho phép các nhà thầu sử dụng máy tính xách tay cá nhân của họ để truy cập từ xa vào mạng của tổ chức".

Trong một dấu hiệu cho thấy những kẻ tấn công đang phát triển và đưa hoạt động của chúng lên một tầm cao mới, bằng chứng mới được đưa ra cho thấy một nhà thầu bị một công ty giấu tên chấm dứt hợp đồng vì hiệu suất kém đã dùng đến cách gửi email tống tiền có đính kèm tệp ZIP chứa bằng chứng về dữ liệu bị đánh cắp.

"Sự thay đổi này làm thay đổi đáng kể hồ sơ rủi ro liên quan đến việc vô tình thuê nhân viên CNTT Triều Tiên", Rafe Pilling, Giám đốc Tình báo về mối đe dọa tại Secureworks CTU, cho biết trong một tuyên bố. "Họ không còn chỉ theo đuổi mức lương ổn định nữa, họ đang tìm kiếm số tiền cao hơn, nhanh hơn, thông qua hành vi trộm cắp dữ liệu và tống tiền, từ bên trong hệ thống phòng thủ của công ty".

Để giải quyết mối đe dọa này, các tổ chức được khuyến khích phải cảnh giác trong quá trình tuyển dụng, bao gồm tiến hành kiểm tra danh tính kỹ lưỡng, thực hiện phỏng vấn trực tiếp hoặc qua video và cảnh giác với các nỗ lực chuyển hướng thiết bị CNTT của công ty được gửi đến địa chỉ nhà riêng của nhà thầu, chuyển tiền lương cho các dịch vụ chuyển tiền và truy cập vào mạng công ty bằng các công cụ truy cập từ xa trái phép.

"Sự leo thang này và các hành vi được liệt kê trong cảnh báo của FBI chứng minh bản chất được tính toán của những âm mưu này", Secureworks CTU cho biết, đồng thời chỉ ra hành vi tài chính đáng ngờ của những nhân viên này và những nỗ lực của họ nhằm tránh bật video trong khi gọi điện.

"Sự xuất hiện của các yêu cầu tiền chuộc đánh dấu sự thay đổi đáng kể so với các chương trình Nickel Tapestry trước đây. Tuy nhiên, hoạt động được quan sát trước vụ tống tiền này phù hợp với các chương trình trước đây liên quan đến công nhân Triều Tiên."