Đội tin tặc nguy hiểm nhất của Triều Tiên khiến phương Tây dè chừng

Vụ tấn công “mã độc tống tiền” WannaCry ảnh hưởng tới 150 quốc gia. Ảnh: cdn.bgr.com

Những năm gần đây, Triều Tiên bị nghi đứng sau hàng loạt vụ tấn công mạng chủ yếu nhằm vào mạng lưới tài chính, tại Mỹ, Hàn Quốc cùng hàng chục quốc gia khác.

Các chuyên gia nghiên cứu an ninh mạng cho biết, họ đã phát hiện bằng chứng kỹ thuật cho thấy Triều Tiên có liên quan tới vụ tấn công “mã độc tống tiền” WannaCry gây ảnh hưởng đến hơn 300.000 máy tính tại 150 nước trong tháng 5. Phía Bình Nhưỡng gọi cáo buộc là “nực cười”.

Mấu chốt trong những cáo buộc chống lại Triều Tiên là mối liên hệ của nước này với nhóm tin tặc Lazarus, bị nghi là thủ phạm đánh cắp 81 triệu USD từ ngân hàng trung ương Bangladesh hồi năm ngoái và tấn công vào studio của hãng Sony Pictures năm 2014.

Chính phủ Mỹ buộc tội Triều Tiên vì vụ tấn công hãng Sony, còn một số quan chức cho hay, các công tố viên đang mở cuộc điều tra Bình Nhưỡng trong vụ tấn công ngân hàng Bangladesh. Tuy nhiên, họ chưa có đưa ra bằng chứng cụ thể và chưa công bố tội danh chính thức. Triều Tiên bác bỏ cáo buộc là thủ phạm đứng sau hai vụ trên.

Bí ẩn Đơn vị 180

Triều Tiên là một trong những quốc gia bí ẩn nhất thế giới và cộng đồng quốc tế rất khó có chi tiết về hoạt động bí mật của họ. Tuy nhiên, những chuyên gia nghiên cứu về nước này và những người thoát ly sang Hàn Quốc hay phương Tây đã đưa ra một số đầu mối. Ví dụ như Kim Heugn Kwang, cựu giáo sư khoa học máy tính tại Triều Tiên, người đã đào thoát sang Hàn Quốc năm 2004 và vẫn liên hệ với nguồn tin ở Triều Tiên.

Ông Kim nói, các cuộc tấn công mạng của Bình Nhưỡng nhằm vào cơ quan tài chính có khả năng được sắp xếp bởi Đơn vị 180, một đơn vị thuộc Tổng cục trinh sát (RGB) – cơ quan tình báo chủ chốt của Triều Tiên.

“Đơn vị 180 liên quan tới các vụ tấn công cơ quan tài chính bằng việc vi phạm và rút tiền khỏi các tài khoản ngân hàng”, Kim nói với Reuters. Trước đây, ông từng tiết lộ rằng vài cựu sinh viên của ông đã tham gia Cơ quan chỉ huy mạng chiến lược thuộc quân đội Triều Tiên.

Đơn vị 180 thuộc cơ quan tình báo chủ chốt của Triều Tiên. Ảnh minh họa: Freemalaysiatoday.

“Hacker ra nước ngoài, tìm nơi nào đó có dịch vụ Internet tốt hơn Triều Tiên để hành động mà không để lại dấu vết”, Kim nói. Vỏ bọc của họ là nhân viên các doanh nghiệp thương mại, chi nhánh nước ngoài của công ty Triều Tiên hay công ty liên doanh tại Trung Quốc hoặc Đông Nam Á.

James Lewis, một chuyên gia về vấn đề Triều Tiên tại Trung tâm Nghiên cứu chiến lược và quốc tế ở Washington (Mỹ), cho rằng, ban đầu Bình Nhưỡng dùng tấn công mạng như công cụ gián điệp và sau đó là quấy rối chính trị chống lại các mục tiêu ở Hàn Quốc và Mỹ.

Bên thứ 3

Theo báo cáo được trình lên Quốc hội Mỹ năm ngoái, Bộ Quốc phòng cho hay, Triều Tiên có thể “coi tấn công mạng là công cụ hiệu quả về chi phí, dễ bác bỏ và ít rủi ro bị tấn công trả đũa, một phần vì hệ thống mạng của nước này phần lớn tách biệt khỏi Internet”.

Báo cáo cũng cho rằng, Triều Tiên có thể sử dụng cơ sở hạ tầng mạng từ các quốc gia thứ 3. Trong khi đó, các quan chức Hàn Quốc cho biết họ có bằng chứng đáng kể chứng minh các hoạt động chiến tranh không gian mạng của Triều Tiên.

“Triều Tiên thực hiện các vụ tấn công mạng qua các nước thứ 3 để che đậy nguồn vụ tấn công đồng thời sử dụng thông tin và cơ sở hạ tầng công nghệ thông tin của họ”, Thứ trưởng Ngoại giao Hàn Quốc Ahn Chong Ghee trả lời hãng Reuters.

Ngoài các ngân hàng Bangladesh, ông Ahn cho rằng Bình Nhưỡng còn bị nghi đứng sau loạt vụ tấn công mạng của ngân hàng ở Philippines và Hà Lan.

Tháng 6 năm ngoái, cảnh sát Hàn Quốc cho biết Triều Tiên đã hack hơn 140.000 máy tính của các công ty và cơ quan chính phủ Hàn Quốc, cấy mã độc – như một phần của kế hoạch dài hạn nhằm tạo nền tảng để thực hiện một vụ tấn công mạng quy mô cực lớn.

Triều Tiên cũng bị nghi đứng sau các cuộc tấn công không gian mạng nhằm vào nhà điều hành lò phản ứng hạt nhân của Hàn Quốc năm 2014, dù Bình Nhưỡng phủ nhận có liên quan. Theo Simon Choi, nhà nghiên cứu an ninh cao cấp của Hauri, công ty chống virus tại Seoul, vụ tấn công này được thực hiện từ một địa điểm ở Trung Quốc.

Liên hệ với Malysia?

Theo Yoo Dong-ryul, cựu cảnh sát Hàn Quốc chuyên nghiên cứu về kỹ thuật do thám của Triều Tiên suốt 25 năm qua, Malaysia cũng là địa bàn để Triều Tiên tổ chức hoạt động tấn công mạng.

“Bề ngoài, họ làm công việc đào tạo hoặc nhân viên của các công ty IT”, Yoo nói. “Nhiều người trong số đó điều hành trang web và bán trò chơi và các chương trình cá cược”.

Theo điều tra của Reuters hồi năm ngoái, hai công ty IT tại Malaysia có liên hệ với cơ quan tình báo RGB của Triều Tiên, dù chưa có bằng chứng cho thấy một trong hai công ty có liên quan tới hoạt động tấn công mạng.

Michael Madden, chuyên gia về Triều Tiên ở Mỹ, cho rằng Đơn vị 180 là một trong nhiều nhóm chiến tranh mạng tinh vi trong cộng đồng tình báo Triều Tiên.

“Nhân viên (Đơn vị 180) được tuyển chọn từ các trường trung học và đào tạo tại các học viện xuất sắc. Họ có quyền tự quyết nhất định khi làm nhiệm vụ cũng như trong công việc”, Madden nói. Chuyên gia này cho hay, họ cũng có thể làm việc khi ở trong các khách sạn ở Trung Quốc hoặc Đông Âu.

Tại Mỹ, các quan chức cho rằng, chưa có bằng chứng rõ ràng về việc Triều Tiên đứng sau vụ tấn công quy mô toàn cầu WannaCry vừa qua.

Tuy nhiên, theo một quan chức chính phủ cao cấp giấu tên, Bình Nhưỡng có liên quan trực tiếp đến mã độc hay không không thể thay đổi thực tế họ là nguy cơ an ninh mạng rõ rệt”.

Đồng tình với quan điểm đó, Dmitri Alperovitch, đồng sáng lập hãng bảo mật CrowdStrike, cho hay: “Năng lực của Triều Tiên tiến bộ một cách ổn định theo thời gian và chúng tôi xem họ là nhân tố có thể gây đe dọa đáng kể đến hệ thống chính phủ và tổ chức cá nhân của Mỹ”.

	Hacker Triều Tiên đứng sau vụ tấn công mạng toàn cầu?
	CIA lập đơn vị đặc biệt để 'xử lý' vấn đề Triều Tiên