Đây là cách các đặc vụ Triều Tiên đang cố gắng xâm nhập vào các công ty tiền điện tử của Mỹ

Người đàn ông ở đầu dây bên kia, một đặc vụ FBI, nói với Devin rằng nhà phát triển phần mềm có vẻ hợp pháp mà anh ta đã thuê vào mùa hè trước là một đặc vụ Bắc Triều Tiên, người đã gửi hàng chục nghìn đô la tiền lương của mình cho chế độ độc tài của đất nước.

Bị sốc, Devin cúp máy và ngay lập tức cắt tài khoản của nhân viên này khỏi tài khoản công ty, anh nói.

“Anh ấy là một người đóng góp tốt,” Devin than thở, bối rối trước người đàn ông tự nhận là người Trung Quốc và đã vượt qua nhiều vòng phỏng vấn để được tuyển dụng. (CNN đang sử dụng một bút danh cho Devin để bảo vệ danh tính của công ty anh ấy).

Tin tặc do chính phủ Bắc Hàn hậu thuẫn có bị đánh cắp số tiền tương đương hàng tỷ đô la trong những năm gần đây bằng cách đánh phá các sàn giao dịch tiền điện tử, theo Liên hợp quốc. Trong một số trường hợp, họ có thể thu được hàng trăm triệu đô la chỉ trong một vụ trộm, FBI và các nhà điều tra tư nhân nói.

Giờ đây, các nhà điều tra liên bang Hoa Kỳ đang cảnh báo công khai về một trụ cột chính trong chiến lược của Triều Tiên, trong đó chế độ đặt các nhân viên vào các công việc kỹ thuật trong toàn ngành công nghệ thông tin.

FBI, Bộ Tài chính và Nhà nước ban hành một lời khuyên công khai hiếm hoi vào tháng 5, khoảng hàng nghìn nhân viên CNTT “có tay nghề cao” đã cung cấp cho Bình Nhưỡng “một nguồn doanh thu quan trọng” giúp kiểm soát các “ưu tiên kinh tế và an ninh cao nhất” của chế độ.

Đó là một kế hoạch kiếm tiền phức tạp dựa vào các công ty bình phong, nhà thầu và sự lừa dối để làm mồi cho một ngành công nghiệp đầy biến động luôn săn lùng những tài năng hàng đầu. Các công nhân công nghệ của Triều Tiên có thể kiếm được hơn $300.000 hàng năm - gấp hàng trăm lần thu nhập trung bình của một công dân Triều Tiên - và lên tới 90% tiền lương của họ là theo chế độ, theo lời khuyên của Mỹ.

Soo Kim, cựu nhà phân tích về Triều Tiên tại CIA, cho biết: “(Người Bắc Triều Tiên) rất coi trọng vấn đề này. “Đó không chỉ là một số rando trong tầng hầm của anh ấy đang cố gắng khai thác tiền điện tử,” cô ấy nói thêm, đề cập đến quá trình tạo ra tiền kỹ thuật số. "Đó là một cách sống."

Giá trị của tiền điện tử đã giảm mạnh trong những tháng gần đây, làm cạn kiệt chiến lợi phẩm của Triều Tiên nhiều triệu đô la. Theo Chainalysis, một công ty theo dõi tiền kỹ thuật số, giá trị của các khoản nắm giữ của Triều Tiên nằm trong “ví” hoặc tài khoản tiền điện tử, chưa được chuyển ra tiền mặt đã giảm hơn một nửa kể từ cuối năm ngoái, từ $170 triệu xuống còn khoảng $65 triệu.

Nhưng các nhà phân tích cho rằng ngành công nghiệp tiền điện tử là mục tiêu quá có giá trị để các đặc vụ Triều Tiên quay lưng vì khả năng phòng thủ mạng tương đối yếu của ngành và vai trò của tiền điện tử trong việc trốn tránh các lệnh trừng phạt.

Các quan chức Mỹ trong những tháng gần đây đã tổ chức một loạt cuộc họp riêng với các chính phủ nước ngoài như Nhật Bản, và với các công ty công nghệ ở Mỹ và nước ngoài, để gióng lên hồi chuông cảnh báo về mối đe dọa từ các nhân viên CNTT của Triều Tiên, một quan chức Bộ Tài chính chuyên về Triều Tiên Triều Tiên nói với CNN.

Quan chức này cho biết danh sách các công ty mà Triều Tiên nhắm đến bao gồm mọi khía cạnh của lĩnh vực công nghệ tự do, bao gồm các bộ xử lý thanh toán và các công ty tuyển dụng.

Bình Nhưỡng đã tìm kiếm công nhân công nghệ ở nước ngoài để kiếm doanh thu trong nhiều năm. Nhưng đại dịch coronavirus - và khóa không thường xuyên nó đã gây ra ở Triều Tiên - nếu có bất cứ điều gì, đã làm cho cộng đồng công nghệ trở thành nguồn tài trợ quan trọng hơn cho chế độ, quan chức Bộ Tài chính nói với CNN.

"Bộ Tài chính sẽ tiếp tục nhắm mục tiêu vào các nỗ lực tạo thu nhập của CHDCND Triều Tiên, bao gồm chương trình nhân viên CNTT bất hợp pháp và các hoạt động không gian mạng có liên quan", Brian Nelsonc, Thứ trưởng phụ trách khủng bố và tình báo tài chính Tresuary, cho biết trong một tuyên bố với CNN, sử dụng từ viết tắt của Bắc Triều Tiên.

“Các công ty tham gia hoặc xử lý các giao dịch cho công nhân [công nghệ Bắc Triều Tiên] có nguy cơ phải chịu các lệnh trừng phạt của Hoa Kỳ và Liên Hợp Quốc,” Nelson nói thêm, tháng trước đã gặp ai với các quan chức chính phủ Hàn Quốc để thảo luận về các cách chống lại hoạt động rửa tiền và tội phạm mạng của Triều Tiên.

CNN đã gửi email và gọi điện đến Đại sứ quán Triều Tiên ở London để tìm kiếm bình luận.

Các nhà điều tra liên bang cũng đang theo dõi những người Mỹ có thể có xu hướng cho Triều Tiên mượn kiến thức chuyên môn của họ về tiền tệ kỹ thuật số.

Vào tháng 4, một lập trình viên máy tính 39 tuổi người Mỹ tên là Virgil Griffith đã bị kết án hơn 5 năm tù tại Mỹ vì vi phạm các lệnh trừng phạt của Mỹ đối với Triều Tiên sau khi phát biểu tại một hội nghị blockchain vào năm 2019 về cách trốn tránh các lệnh trừng phạt. Griffith đã nhận tội và, trong một tuyên bố nộp cho thẩm phán trước khi tuyên án, bày tỏ "sự hối hận sâu sắc" và "xấu hổ" cho hành động của mình, điều mà anh ta cho là ám ảnh phải nhìn thấy Triều Tiên "trước khi nó sụp đổ."

Nhưng thách thức dài hạn mà các quan chức Mỹ phải đối mặt là tinh vi hơn nhiều so với các hội nghị blockchain dễ thấy ở Bình Nhưỡng. Nó liên quan đến việc cố gắng cắt giảm các nguồn tài trợ lan tỏa mà chính phủ Triều Tiên nhận được từ cộng đồng công nghệ của họ.

Con dao hai lưỡi

Chính phủ Triều Tiên từ lâu đã được hưởng lợi từ việc người ngoài đánh giá thấp khả năng của chế độ trong việc tự chống đỡ, phát triển mạnh trên thị trường chợ đen và khai thác công nghệ thông tin làm nền tảng cho nền kinh tế toàn cầu.

Chế độ đã xây dựng một đội ngũ tin tặc đáng gờm bằng cách chọn ra những học sinh có triển vọng về toán và khoa học trong trường học, đưa Triều Tiên vào cùng một cuộc trò chuyện như Iran, Trung Quốc và Nga khi các quan chức tình báo Mỹ thảo luận về sức mạnh không gian mạng.

Trong bức ảnh do chính phủ Triều Tiên cung cấp, nhà lãnh đạo Triều Tiên Kim Jong Un tham dự một buổi chụp ảnh với các sĩ quan và binh sĩ, ngày 27 tháng 4 năm 2022.

Một trong những vụ hack khét tiếng nhất của Triều Tiên xảy ra vào năm 2014 với việc làm tê liệt hệ thống máy tính của Sony Pictures Entertainment để trả đũa cho “The Interview”, một bộ phim liên quan đến âm mưu hư cấu nhằm giết Kim Jong Un. Hai năm sau, tin tặc Triều Tiên đã đánh cắp khoảng $81 triệu từ Ngân hàng Bangladesh bằng cách khai thác hệ thống SWIFT để chuyển tiền ngân hàng.

Các nhóm hack của Triều Tiên trong nhiều năm đã đào tạo tầm nhìn của họ về thị trường tiền điện tử đang bùng nổ và phá sản.

Lợi nhuận đôi khi là phi thường.

Các tin tặc có liên hệ với Bình Nhưỡng vào tháng 3 đã đánh cắp số tiền tương đương với $600 triệu tiền điện tử từ một công ty trò chơi điện tử có trụ sở tại Việt Nam, theo FBI. Và các tin tặc Triều Tiên có khả năng đứng sau vụ trộm trị giá $100 triệu tại một công ty tiền điện tử có trụ sở tại California, theo công ty phân tích blockchain Elliptic.

Fred Plan, nhà phân tích chính tại công ty an ninh mạng Mandiant, chuyên điều tra các nhân viên công nghệ bị nghi ngờ của Triều Tiên, cho biết: “Hầu hết các công ty và dịch vụ tiền điện tử này vẫn còn một khoảng cách xa so với tư thế bảo mật mà chúng tôi thấy với các ngân hàng truyền thống và các tổ chức tài chính khác. một số phát hiện của nó với CNN.

Hàng nghìn công nhân công nghệ của Triều Tiên ở nước ngoài mang lại cho Bình Nhưỡng một con dao hai lưỡi: Họ có thể kiếm được mức lương vượt qua các lệnh trừng phạt của Liên hợp quốc và Hoa Kỳ và đi thẳng vào chế độ trong khi đôi khi cũng tạo cho các tin tặc có trụ sở tại Triều Tiên một chỗ đứng trong tiền điện tử hoặc các công ty công nghệ khác. Các nhân viên CNTT đôi khi cung cấp hỗ trợ “hậu cần” cho tin tặc và chuyển tiền điện tử, cố vấn gần đây của chính phủ Hoa Kỳ cho biết.

Nick Carlsen, người cho đến năm ngoái là nhà phân tích tình báo FBI tập trung vào Triều Tiên, nói với CNN: “Cộng đồng các lập trình viên lành nghề ở Triều Tiên được phép tiếp xúc với người phương Tây chắc chắn là khá nhỏ.

“Những người này quen biết nhau. Ngay cả khi một nhân viên CNTT cụ thể không phải là tin tặc, anh ta vẫn hoàn toàn biết một người đó, ”Carlsen, hiện làm việc tại TRM Labs, một công ty chuyên điều tra gian lận tài chính, cho biết. "Bất kỳ lỗ hổng nào mà họ có thể xác định trong hệ thống của khách hàng sẽ có nguy cơ nghiêm trọng."

Và cả nhân viên công nghệ và tin tặc từ Triều Tiên đã sử dụng tính chất tương đối cởi mở của quá trình tìm kiếm việc làm - trong đó bất kỳ ai cũng có thể giả danh bất kỳ ai trên các nền tảng như LinkedIn - để làm lợi thế cho họ. Ví dụ, vào cuối năm 2019, các tin tặc Triều Tiên có thể đã đóng giả là người tuyển dụng việc làm trên LinkedIn để nhắm mục tiêu vào dữ liệu nhạy cảm do nhân viên tại hai công ty hàng không và quốc phòng châu Âu nắm giữ, theo các nhà nghiên cứu tại công ty an ninh mạng ESET.

"Chúng tôi tích cực tìm kiếm các dấu hiệu của hoạt động do nhà nước bảo trợ trên nền tảng và nhanh chóng có hành động chống lại những kẻ xấu để bảo vệ các thành viên của chúng tôi", LinkedIn cho biết trong một tuyên bố với CNN. “Chúng tôi không chờ đợi theo yêu cầu, nhóm tình báo về mối đe dọa của chúng tôi sẽ xóa các tài khoản giả mạo bằng cách sử dụng thông tin mà chúng tôi phát hiện và thông tin tình báo từ nhiều nguồn khác nhau, bao gồm cả các cơ quan chính phủ”.

Học cách phát hiện những lá cờ đỏ

Một số người trong ngành công nghiệp tiền điện tử đang thận trọng hơn khi họ tìm cách thuê những tài năng mới. Trong trường hợp của Jonathan Wu, một cuộc gọi video với một ứng viên xin việc vào tháng 4 có thể đã ngăn anh ta vô tình thuê người mà anh ta nghi ngờ là một nhân viên công nghệ Bắc Triều Tiên.

Là người đứng đầu bộ phận tiếp thị tăng trưởng tại Aztec, một công ty cung cấp các tính năng bảo mật cho Ethereum, một loại công nghệ tiền điện tử phổ biến, Wu đang tìm kiếm một kỹ sư phần mềm mới khi nhóm tuyển dụng bắt gặp một bản lý lịch đầy hứa hẹn mà ai đó đã gửi.

Người nộp đơn đã tuyên bố có kinh nghiệm với các mã thông báo không thể thay thế (NFT) và các phân đoạn khác của thị trường tiền điện tử.

“Có vẻ như một người mà chúng tôi có thể thuê làm kỹ sư,” Wu, sống ở New York, nói với CNN.

Nhưng Wu đã nhìn thấy một số dấu hiệu đỏ ở người nộp đơn, người đã đặt tên của anh ấy là “Bobby Sierra.” Anh ấy nói bằng tiếng Anh ngắt quãng trong cuộc phỏng vấn, tắt máy quay phim và khó có thể giữ câu chuyện chính xác của mình vì anh ấy thực tế đang yêu cầu một công việc. tại Aztec, theo Wu.

Cuối cùng Wu đã không thuê “Sierra”, người đã khai trong lý lịch là sống ở Canada.

“Có vẻ như anh ấy đang ở trong một trung tâm cuộc gọi,” Wu nói. “Có vẻ như có bốn hoặc năm người đàn ông trong văn phòng, cũng nói to, cũng có vẻ như đang phỏng vấn hoặc gọi điện thoại và nói hỗn hợp tiếng Hàn và tiếng Anh.”

“Sierra” đã không trả lời các tin nhắn được gửi đến email rõ ràng của anh ấy và các tài khoản Telegram đang tìm kiếm bình luận.

CNN đã có được lý lịch mà các nhân viên công nghệ Triều Tiên bị cáo buộc đã nộp cho công ty của Wu và công ty khởi nghiệp tiền điện tử do Devin thành lập. Bản lý lịch dường như cố tình chung chung để không khơi dậy sự nghi ngờ và sử dụng các từ thông dụng phổ biến trong ngành công nghiệp tiền điện tử như “khả năng mở rộng” và “blockchain”.

Mandiant cho biết, một hoạt động bị nghi ngờ của Triều Tiên được theo dõi bởi Mandiant, công ty an ninh mạng, đã hỏi nhiều câu hỏi của những người khác trong cộng đồng tiền điện tử về cách Ethereum hoạt động và tương tác với công nghệ khác, Mandiant nói.

Nhà phân tích chính Michael Barnhart của Mandiant có thể đã thu thập thông tin về công nghệ có thể hữu ích cho việc hack nó sau này.

“Những người này biết chính xác những gì họ muốn từ các nhà phát triển Ethereum,” Barnhart nói. "Họ biết chính xác những gì họ đang tìm kiếm."

Kim, cựu nhà phân tích CIA, hiện là nhà phân tích chính sách của RAND Corp., một tổ chức tư vấn cho biết.

Kim nói với CNN: “Mặc dù hiện nay ngành nghề giao dịch không hoàn hảo, nhưng xét về cách tiếp cận người nước ngoài và tìm kiếm các điểm yếu của họ, thì đó vẫn là một thị trường mới cho Triều Tiên,” Kim nói với CNN. "Trước những thách thức mà chế độ đang phải đối mặt - thiếu lương thực, ít quốc gia sẵn sàng can dự với Triều Tiên hơn ... đây sẽ là thứ mà họ sẽ tiếp tục sử dụng vì về cơ bản không ai cản trở họ."

Nguồn