Gián điệp mạng Bắc Triều Tiên lập doanh nghiệp tại Mỹ để nhắm đến các nhà phát triển tiền điện tử

Bởi AJ Vicens, Anton Zverev và James Pearson

DETROIT/LONDON (Reuters) – Các nhà nghiên cứu về an ninh mạng đã tiết lộ rằng những gián điệp mạng Bắc Triều Tiên đã tạo ra hai doanh nghiệp tại Mỹ, vi phạm lệnh trừng phạt của Bộ Tài chính, để lây nhiễm phần mềm độc hại vào các nhà phát triển tiền điện tử.

Các công ty, Blocknovas LLC và Softglide LLC, được đăng ký tại New Mexico và New York bằng cách sử dụng địa chỉ và nhân vật giả, theo các nhà nghiên cứu tại Silent Push, một công ty an ninh mạng của Mỹ. Một thực thể thứ ba, Angeloper Agency, cũng có liên quan nhưng không được đăng ký tại Mỹ.

Kasey Best, giám đốc thông tin tình báo về mối đe dọa của Silent Push, lưu ý: “Đây là một ví dụ hiếm hoi về việc các hacker Bắc Triều Tiên lập các thực thể doanh nghiệp hợp pháp tại Mỹ để tấn công những ứng viên xin việc không cảnh giác.”

Những kẻ tấn công này thuộc một nhóm phụ trong Nhóm Lazarus, đội ngũ hacker tinh nhuệ của Bắc Triều Tiên trực thuộc Bộ Tổng tham mưu tình báo, Bình Nhưỡng.
Cơ quan tình báo nước ngoài chính của ang.

FBI không bình luận cụ thể về Blocknovas hoặc Softglide. Tuy nhiên, một thông báo tịch thu của FBI cho biết rằng miền này đã bị thu giữ như một phần của hành động thực thi pháp luật chống lại các tác nhân mạng Triều Tiên sử dụng các bài đăng tuyển dụng giả và phân phối phần mềm độc hại.

Các quan chức FBI đã nhấn mạnh rằng các hoạt động mạng của Triều Tiên là “một trong những mối đe dọa liên tục tiên tiến nhất” đối với Hoa Kỳ.

Các cuộc tấn công của Triều Tiên liên quan đến các nhân vật giả mạo cung cấp phỏng vấn xin việc, dẫn đến việc triển khai phần mềm độc hại làm suy yếu ví tiền ảo của các nhà phát triển và thông tin cá nhân để thực hiện các cuộc tấn công thêm vào các doanh nghiệp hợp pháp, Best giải thích.

Silent Push xác nhận nhiều nạn nhân của các cuộc tấn công này, đặc biệt qua Blocknovas, được coi là công ty tiên phong năng động nhất trong ba công ty.

CÁC LỆNH TRỪNG PHẠT

Reuters đã phân tích các tài liệu đăng ký cho Blocknovas và Softglide và không tìm thấy dấu vết nào của những cá nhân được liệt kê.

Blocknovas có địa chỉ đăng ký tại Warrenville, South Carolina.
a, được xác định là một lô đất trống trên Google Maps. Softglide dường như đã được đăng ký bởi một văn phòng thuế nhỏ ở Buffalo, New York.

Hoạt động này nhấn mạnh sự tiếp tục của Bắc Triều Tiên trong việc nhắm tới lĩnh vực tiền điện tử để huy động quỹ cho chính phủ của mình.

Ngoài việc hack để lấy tiền tệ nước ngoài, Bắc Triều Tiên đã gửi hàng nghìn công nhân CNTT ra nước ngoài để huy động quỹ cho chương trình tên lửa hạt nhân của mình, theo như Mỹ, Hàn Quốc và Liên Hợp Quốc.

Sự tồn tại của một công ty do Bắc Triều Tiên kiểm soát ở Mỹ vi phạm các lệnh trừng phạt của Cục Kiểm Soát Tài Sản Nước Ngoài, là một phần của Bộ Tài Chính, và cũng vi phạm các lệnh trừng phạt của Liên Hợp Quốc ngăn chặn các hoạt động của Bắc Triều Tiên mang lại lợi ích cho chính phủ hoặc quân đội của nó.

Cục Ngoại giao bang New York từ chối bình luận về các công ty cụ thể, trong khi các quan chức bang New Mexico cho biết sự tuân thủ các quy định của bang không tiết lộ các mối liên hệ với Bắc Triều Tiên.

Những hacker nhắm đến việc lây nhiễm cho các ứng viên xin việc bằng ít nhất ba chủng phần mềm độc hại.
trước đây có liên quan đến các hoạt động mạng của Triều Tiên, có thể đánh cắp thông tin, cấp quyền truy cập mạng và tải thêm phần mềm độc hại.