Tin tặc Triều Tiên giả danh nhân viên IT, đánh cắp 915.000 USD tiền mã hóa tại Mỹ và Serbia

Bốn tin tặc Triều Tiên giả danh nhân viên IT tại Mỹ và Serbia, đánh cắp hơn 900.000 USD tiền mã hóa

Theo thông tin do Bộ Tư pháp Mỹ công bố ngày 24 (giờ địa phương), bốn công dân Triều Tiên đã bị truy tố vì giả danh nhân viên IT để xâm nhập các doanh nghiệp tại Mỹ và Serbia, đánh cắp khoảng 915.000 USD (tương đương 12,78 tỷ đồng) dưới hình thức tiền mã hóa. Các cá nhân gồm Kim Kwang Jin, Kang Tae Bok, Jeong Bong Ju và Jang Nam Il bị buộc tội lừa đảo điện tử và rửa tiền. Họ bị cáo buộc sử dụng giấy tờ giả mạo để che giấu quốc tịch Triều Tiên nhằm xâm nhập mạng lưới doanh nghiệp phương Tây.

Tổ chức này bắt đầu hoạt động từ năm 2019 tại Các Tiểu vương quốc Ả Rập Thống nhất, và từ cuối năm 2020 đến giữa năm 2021, các nghi phạm đã thâm nhập vào các công ty khởi nghiệp blockchain và doanh nghiệp tài sản số đặt trụ sở tại Atlanta (Mỹ) và Serbia. Trong đó, Kim Kwang Jin và Jeong Bong Ju đã sử dụng giấy tờ giả để được tuyển dụng dưới dạng nhân viên từ xa — mô hình được cho là đặc biệt dễ bị lợi dụng bởi các tổ chức hacker.

Sau khi có được quyền truy cập mạng nội bộ, các cuộc tấn công bắt đầu được triển khai. Tháng 2 năm 2022, Jeong Bong Ju đã rút trái phép khoảng 175.000 USD (khoảng 2,43 tỷ đồng) tiền mã hóa. Không lâu sau đó, Kim Kwang Jin tiếp tục lợi dụng mã nguồn hợp đồng thông minh để chiếm đoạt thêm 740.000 USD (tương đương 10,29 tỷ đồng). Theo cơ quan điều tra, toàn bộ số tiền này đã được rửa thông qua các dịch vụ trộn tiền (mixers) và chuyển về những ví tiền mã hóa nằm dưới quyền kiểm soát của Kang Tae Bok và Jang Nam Il. Đáng chú ý, các ví này được mở bằng thông tin giả từ giấy tờ nhân thân giả mạo của Malaysia.

Bình luận về vụ việc, ông John C. Demers, Thứ trưởng phụ trách an ninh quốc gia thuộc Bộ Tư pháp Mỹ nhận định: “Những hoạt động tội phạm này nhắm trực tiếp vào doanh nghiệp Mỹ nhằm tránh lệnh trừng phạt và thu lợi tài chính bất hợp pháp để tài trợ cho chương trình vũ khí của chính quyền Triều Tiên.” Đây là một phần trong chiến dịch mang tên “DPRK RevGen” nhằm ngăn chặn nguồn thu phi pháp của Triều Tiên và triệt phá hệ thống hỗ trợ tại Mỹ, triển khai từ đầu năm 2024.

Song song với cuộc điều tra, lực lượng chức năng Mỹ cũng đã tiến hành chiến dịch truy quét quy mô lớn tại 16 bang để nhắm vào các tổ chức hacker có liên hệ với Triều Tiên. Cụ thể, khoảng 30 tài khoản tài chính, hơn 20 trang web lừa đảo và 200 thiết bị máy tính xách tay đã bị thu giữ. Các thiết bị này được cho là được dùng để giả mạo vị trí làm việc của hacker như thể họ đang làm việc từ xa tại Mỹ.

Bình luận

Vụ việc là lời cảnh tỉnh mạnh mẽ về cách thức ngày càng tinh vi của các nhóm hacker Triều Tiên trong việc tiếp cận ngành công nghiệp tiền mã hóa. Thông qua việc lợi dụng kẽ hở quản trị, bảo mật và chính sách làm việc linh hoạt từ xa, tin tặc có thể gây ra thiệt hại nghiêm trọng cho hệ sinh thái tài chính số toàn cầu.

Từ khóa: “tiền mã hóa”, “Triều Tiên”, “tấn công mạng”, “nhân viên IT giả danh”, “rửa tiền”