Theo Zdnet, các nhà nghiên cứu bảo mật tại SecureWorks đã theo dõi và phát hiện một băng đảng tội phạm mạng có liên hệ với Triều Tiên đang cố gắng tìm kiếm và đánh cắp Bitcoin từ nhiều nơi trên thế giới. Nhóm này không ai khác chính là Lazarus Group, từng được cho là tấn công Sony Pictures vào năm 2014 và cũng là thủ phạm phát tán mã độc tống tiền WannaCry năm nay.
Triều Tiên đang rất quan tâm tới Bitcoin. |
Các chuyên gia của SecureWorks cho biết, cách thức tấn công của Lazarus Group không quá phức tạp: đính kèm mã độc vào email với nội dung hấp dẫn như mua Bitcoin với giá rẻ và lừa nạn nhân nhấp chuột vào đó. Đã có ít nhất một công ty về tiền kỹ thuật số tại Anh bị tấn công theo cách thức này và tác giả là nhóm hacker Triều Tiên.
Tuy nhiên, nhóm này đã bắt đầu áp dụng cách tấn công mới nguy hiểm và khó phát hiện hơn. Không còn là các nhân viên bình thường, chúng chủ yếu nhắm vào các giám đốc tài chính đang quản lý tiền ảo, trong đó có Bitcoin.
Cụ thể, hacker sẽ gửi đến một email có chứa thông tin về vị trí Giám đốc tài chính của một công ty khác. Bên trong, email đính kèm một văn bản, lưu lại bằng Microsoft Word, đồng thời yêu cầu chỉnh sửa lại văn bản này.
Mã độc lây lan khi kích hoạt macro trong tập tin Microsoft Word. |
Chỉ cần mở tập tin này ra, lập tức một macro xâm nhập vào hệ thống, tự động tạo một văn bản giả mô tả vai trò của một CFO đang làm việc cho một công ty tiền ảo tại châu Âu. Hồ sơ này chủ yếu lấy thông tin của một CFO thực tế trên LinkedIn.
Cũng trong lúc này, một trojan khác đính kèm tập tin được kích hoạt và chạy ngầm trong máy tính. Phần mềm độc hại này làm nhiệm vụ cho phép hacker có thể tải và cài đặt phần mềm độc hại khác bất cứ lúc nào. Nếu máy tính đó thực hiện các giao dịch Bitcoin hoặc tiền ảo khác, các thông tin có thể bị ghi lại và bị âm thầm đánh cắp.
"Chiến thuật này từng được Lazarus Group áp dụng cho các mục tiêu quân sự, quốc phòng, nhưng giờ chúng còn dùng cho việc đánh cắp Bitcoin từ các công ty tài chính", Rafe Pilling, chuyên gia bảo mật cao cấp tại SecureWorks nói.
Theo Cnet, không phải đến khi Bitcoin tăng giá như hiện nay Triều Tiên mới quan tâm. Trên thực tế, nước này đã có "sự tìm hiểu tích cực" về tiền ảo này từ năm 2013. Bên cạnh việc khai thác, rất nhiều địa chỉ IP từ Triều Tiên được ghi nhận thường xuyên giao dịch tiền ảo tại nước ngoài, hay nhiều nhóm tội phạm mạng với mưu đồ đánh cắp Bitcoin được ghi nhận.
Việc Bitcoin thu hút Triều Tiên có rất nhiều lý do. Với đặc thù được thiết kế để hoạt động ngoài tầm kiểm soát của các chính phủ hay các ngân hàng (các thanh toán có thể được ẩn danh), Bitcoin là đồng tiền phù hợp để nước này chuyển tài sản thành tiền và dễ dàng sử dụng trong bối cảnh bị phương Tây cô lập do phát triển vũ khí hạt nhân. Theo Bryce Boland, Giám đốc Công nghệ của công ty an ninh mạng FireEye, tầm quan trọng cao đang khiến Triều Tiên bắt đầu đào tạo một số lượng lớn những người am hiểu về Bitcoin để có thể khai thác, đánh cắp ở các nơi khác về phục vụ cho quốc gia này.