Đằng sau sự trỗi dậy của các tin tặc Triều Tiên

Biên dịch: Nguyễn Hải Hoành | Hiệu đính: Nguyễn Chí Công

Nguồn: “Behind the rise of North Korean hackers: the 121 game, the hacker forces and the red star system”, Best China News, 17/05/2017.

 

Trong khi nhiều nơi trên thế giới đang hãi hùng vì bị virus WannaCry tấn công thì chỉ có Triều Tiên vẫn an toàn vô sự. Chuyện ấy chẳng làm các nhà du hành vũ trụ đang làm việc trên Trạm ISS ngạc nhiên: họ bay một vòng quanh Trái Đất mất 90 phút và luôn nhìn thấy phần phía bắc bán đảo Triều Tiên tối om không ánh đèn.

Tại các nước phát triển, virus máy tính là một loại bệnh xã hội nhà giàu, đối với Triều Tiên thì nó hầu như là một nỗi phiền muộn ngọt ngào. Hãy thử nghĩ về một đất nước không thường xuyên có điện và Internet (ở đây bỏ qua con số 1024 địa chỉ IP đã biết). Thế nhưng tình hình đã chuyển biến nhanh chóng.

WannaCry thuộc loại virus tống tiền chưa đủ tinh vi, nó chỉ mới kiếm được có 70 nghìn USD.

Symantec và Kaspersky Lab ngày 15/5/2017 cho biết: một tổ chức có tên Lazarus đã dùng một phần mã của phiên bản thời kỳ đầu của virus tống tiền (ransomware). Các nhà nghiên cứu của một số công ty xác nhận Lazarus làm việc cho Triều Tiên. Tháng trước, Kaspersky Lab đưa ra báo cáo cho biết mấy năm gần đây Lazarus đã tấn công 18 cơ quan tài chính tiền tệ ở Đài Loan, Ấn Độ, Indonesia nhằm đánh cắp những khoản tiền lớn.

Nếu xét tới việc gần đây các tổ chức quốc tế đang tăng cường trừng phạt Triều Tiên thì rất có thể virus tống tiền trở thành thủ đoạn làm giàu mới ở Triều Tiên. CIA gọi Triều Tiên là “nền kinh tế mở nhất thế giới”. Ước tính tổng sản lượng nền kinh tế Triều Tiên năm 2015 chỉ bằng 29,9 tỷ USD (hoặc 205,9 tỷ nhân dân tệ). Trong khi đó, tính đến năm 2014, các khoản nợ thương mại quốc tế của Triều Tiên đã vượt quá 62,8 tỷ USD. Các nước chủ nợ chính là Mỹ, Đức, Pháp, Nhật.

Thế nhưng hiện nay kết quả tấn công của bọn tin tặc không lấy gì làm khả quan. Cách đây ít lâu ông Boset Cố vấn An ninh quốc gia của Tổng thống Trump nói lần này virus WannaCry làm cho tổng cộng 300 nghìn máy tính của khoảng 150 nước bị nhiễm, nhưng tổng số tiền chuộc mà các chủ máy tính đã trả cho bọn tin tặc (để mở khóa files) thì chưa tới 70 nghìn USD.

Trong làng virus máy tính, có thể xếp ransomware vào loại động vật ăn cỏ hiền lành, điểm khác biệt lớn nhất giữa nó với các loại virus khác là ở thủ đoạn và phương thức nhiễm độc. Trong đó một loại chỉ đơn thuần khóa máy tính của nạn nhân, còn một loại khác thì mã hóa một cách hệ thống các files trong ổ cứng của nạn nhân. Tất cả các phần mềm tống tiền đều sẽ yêu cầu nạn nhân phải nộp tiền chuộc để qua đó lấy lại quyền điều khiển máy tính, hoặc lấy lại chìa khóa mã (mà nạn nhân không thể có được) để giải mã cho các files.

Virus tống tiền trước tiên khởi sự ở Nga rồi lan ra các nơi trên thế giới. Reveton, CryptoLocker, CryptoWall v.v… là những ransomware tương đối nổi tiếng trong lịch sử. Trước đó họ máy tính Apple Mac luôn được coi là an toàn thì sau cũng không thể tránh được chúng. KeRanger, phần mềm tống tiền đầu tiên chạy trên hệ điều hành MacOS X, xuất hiện năm 2016, virus này ngụy trang các files exe dưới định dạng DMG biến thành files RTF và có thời gian tiềm ẩn là ba ngày.

Virus tống tiền thường giả danh là cơ quan thực thi pháp luật để dọa dẫm các nạn nhân rằng máy tính của họ bị phát hiện là đã tiến hành các hoạt động bất hợp pháp như khiêu dâm, đánh cắp bản quyền hoặc sử dụng hệ điều hành bị bẻ khóa… Thu tiền chuộc là mục tiêu cuối cùng của các loại ransomware. Để tránh bị cơ quan luật pháp truy cứu, tin tặc thường yêu cầu nạn nhân trả tiền chuộc bằng loại tiền Bitcoin [chứ không trả bằng dollar Mỹ]. Riêng WinLock năm 2010 nhận được khoảng 15 triệu dollar tiền chuộc bất hợp pháp.

Cục 121 và binh đoàn tin tặc bí ẩn của Triều Tiên

Triều Tiên được cho là đã thành lập một đơn vị tin tặc vào thập niên 1980.

Báo cáo của Bộ Quốc phòng Hàn Quốc cho biết từ năm 1986 đội ngũ tin tặc nói trên theo học giáo trình máy tính 5 năm tại Đại học Quân sự Kim Nhật Thành, sau đó họ phục vụ tại Cục Tự động hóa chỉ huy và Cục Trinh sát thuộc Bộ Tổng tham mưu của Bộ Quốc phòng, chuyên trách chiến tranh mạng, thâm nhập các hệ thống máy tính của Hàn Quốc, Mỹ và Nhật nhằm thu lượm tình báo hoặc phát động tấn công máy tính.

Do trang thiết bị hạ tầng mạng Internet của Triều Tiên còn yếu nên bộ đội tin tặc của họ phải bố trí nhiều cứ điểm bí mật tại nước ngoài. Cục 121 (121 Unit) của Quân đội Triều Tiên được cho là đơn vị chịu trách nhiệm về hoạt động tin tặc. Nó được thành lập vào cuối thập niên 1990, biên chế khoảng 1800 người, thuộc Cục Trinh sát, một cơ quan tình báo của quân đội. Đơn vị này bắt đầu hoạt động từ năm 2005.

Thời báo New York cho rằng mạng lưới tin tặc của Triều Tiên rất lớn, có 1700 tin tặc, ngoài ra còn có hơn 5000 nhân viên đã được đào tạo, các cán bộ phụ trách và các nhân viên chi viện khác. Nhằm tránh bị người ngoài nghi ngờ, tin tặc Triều Tiên thông thường hoạt động tại Trung Quốc, Đông Nam Á và châu Âu, được cơ quan chủ quản ở Triều Tiên giám sát chặt chẽ.

Bộ đội tin tặc Triều Tiên có hai mục tiêu lớn là kiếm tiền và thu lượm tình báo

Symantec, nhà sản xuất phần mềm an toàn máy tính tin rằng mấy năm nay có nhiều vụ tấn công máy tính được cho là do tin tặc Triều Tiên tiến hành, kể cả vụ công ty điện ảnh Sony năm 2014 bị tấn công mạng, vụ Ngân hàng Ba Lan năm 2016 bị tấn công bằng mã độc, và vụ Ngân hàng Trung ương Bangladesh năm 2016 bị trộm 81 triệu USD.

Các cơ quan tài chính tiền tệ là mục tiêu tấn công trọng điểm của tin tặc Triều Tiên. Kaspersky, một công ty an ninh mạng nổi tiếng của Nga cho biết một server đặt ở châu Âu của tổ chức Lazarus có liên quan tới một số vụ tấn công mạng từng bị phát hiện là có kết nối với các địa chỉ IP của Triều Tiên. Nhân viên nghiên cứu của Kaspersky cho rằng tin tặc Triều Tiên đã tấn công các cơ quan tài chính tiền tệ của Đài Loan, Costa Rica, Ethiopia, Gabon, Ấn Độ, Indonesia, Iraq, Kenya, Malaysia, Nigeria, Ba Lan, Thái Lan, Uruguay và các nước hoặc vùng khác.

James Comey khi còn là Giám đốc Cục Điều tra liên bang Mỹ (FBI) đã nói “Chúng ta có thể nhìn thấy các địa chỉ IP mà họ sử dụng, các địa chỉ IP đó đều là của Triều Tiên. Họ đã phạm một sai lầm. Đây là chứng cứ rất rõ ràng chứng minh ai đã phát động các cuộc tấn công mạng. Tuy rằng chúng ta không nhìn thấy kẻ phát động cuộc tấn công nhưng chúng ta có thể biết cuộc tấn công mạng bắt đầu từ đâu”.

Tin tặc Triều Tiên từng thành công xâm nhập mạng quân đội Hàn Quốc. Đầu tháng 5 năm nay Quân đội Hàn Quốc thừa nhận tháng 9 năm 2016, tin tặc Triều Tiên đột nhập Trung tâm dữ liệu tổng hợp mạng máy tính quân đội Hàn Quốc và đã đánh cắp một số tài liệu, trong đó có những tài liệu như “Kế hoạch tác chiến 5027” có liên quan tới cuộc chiến tranh toàn diện trên bán đảo Triều Tiên và các tài liệu mật khác, nhưng 20 ngày sau quân đội Hàn Quốc mới phát hiện bị mất cắp tài liệu.

Ngoài ra, tháng 4/2016 cảnh sát Hàn Quốc tiết lộ Triều Tiên đã dùng cách cài cấy mã độc để xâm nhập 160 cơ quan của Chính phủ Hàn Quốc và của các tập đoàn SK và Hanjin, với tổng số hơn 140 nghìn máy tính. Theo thống kê, mỗi ngày Triều Tiên tiến hành hơn 15 nghìn vụ tấn công mạng máy tính của Hàn Quốc.

Các vụ tấn công của tin tặc Triều Tiên cũng làm cho vấn đề an toàn của Bitcoin trở nên xấu đi. Yonhap News ước tính trong thời gian 2013-2015 tin tặc đã đánh cắp 88.100 USD bằng Bitcoin. Công ty An ninh mạng Hàn Quốc Hauri In, nói “Từ năm 2012 tới nay Triều Tiên đã nhảy lên sân khấu tống tiền bắt chẹt Bitcoin.”

Hệ điều hành Sao Đỏ, Guangming và 1024 địa chỉ IP

So với những hoạt động hung hăng của Bộ đội tin tặc Triều Tiên thì mạng Internet dân gian tỏ ra quá ư nguyên sơ.

Cho đến năm 2012 phóng viên BBC phát hiện cả Bình Nhưỡng chỉ có một quán cà phê Internet. Khi mở các máy tính tại đây người ta sẽ không thấy hình ảnh và âm thanh quen thuộc của hệ điều hành Windows mà sẽ thấy chúng được mở bằng hệ điều hành do Triều Tiên tự làm ra, có tên là Sao Đỏ, là một phiên bản Linux được tùy biến sâu của Triều Tiên. Phiên bản cũ của hệ điều hành Sao Đỏ hầu như giống hệt Windows, còn phiên bản mới của nó thì cực giống hệ OS X của Apple, và trình duyệt được dùng là Naenara (dựa trên bản sửa đổi của Firefox).

Vào thời gian trước và sau năm 2000 Triều Tiên làm mạng LAN – mạng Guangming, để cho dân chúng nước này dùng. Các thuê bao trong nước chỉ cần gọi điện tới chi nhánh quản lý điện thoại để xin làm thủ tục truy cập mạng thì có thể qua đường dây điện thoại mà truy cập các trang web thuộc cổng thông tin Triều Tiên, đồng thời cũng có bản tiếng Anh. Các trang web này chủ yếu cung cấp dịch vụ tin tức chính thống, như Tiếng nói Triều Tiên, và báo “Tin tức Lao động” của nhà nước Triều Tiên. Ở đây cũng có Facebook bản tiếng Triều, tuy nhiên trên Facebook bạn chỉ có thể phát thông tin về ngày sinh và một số tin tức chúc mừng.

BBC cho biết “Các trang web chính thức của Triều Tiên có một thị hiếu quái gở là mỗi trang phải có một chương trình đặc biệt. Hiệu quả của chương trình này có thể quá đơn giản nhưng rất quan trọng, đó là font chữ của tất cả các tên Kim Jeong-un trên trang sẽ tự động hiển thị khổ chữ lớn hơn các chữ khác. Mặc dù sự khác biệt ấy không lớn, nhưng nó khá nổi bật. ”

Theo hãng tin CNN, vào năm 2014 cả Triều Tiên chỉ có 1024 địa chỉ IP đã biết, và không phải mỗi địa chỉ IP chỉ dành cho một máy tính. Theo ước tính, lưu lượng truy cập Internet trong cả nước Triều Tiên năm 2014 chỉ tương đương với lưu lượng truy cập của 1000 hộ gia đình dùng Internet tốc độ cao ở Mỹ.

Người nước ngoài ở Triều Tiên có thể kết nối vào mạng Internet thực sự. Thời báo Hoàn Cầu cho biết các phóng viên của họ ở Triều Tiên sử dụng Internet hữu tuyến (nối qua cáp) ở Bình Nhưỡng (Triều Tiên hiện cấm sử dụng Wifi) với gói cước hàng tháng vào khoảng 545 USD, trả cước phí mạng cho Câu lạc bộ liên doanh Ngôi sao phương Bắc (North Star Joint Venture Club), tốc độ lý thuyết là 2Mbps.

Theo tin của hãng AP, khoảng năm 2008, một công ty Ai Cập đã giúp Triều Tiên xây dựng mạng 3G, hiện đã bao phủ hầu hết các thành phố lớn. Năm 2013, Triều Tiên bắt đầu cho phép người nước ngoài thông qua mạng 3G để nối vào mạng Internet. Chi phí truy cập Internet hàng tháng của điện thoại di động vào khoảng 14 USD, một tháng miễn phí 50MB lượng truy cập. Đơn vị thu phí là công ty Triều Tiên Koryolink.

Một bài báo trên tạp chí “Quan hệ quốc tế hiện đại” xuất bản năm 2014 nói tới việc Triều Tiên đang phải đối mặt với “tình trạng khó xử trong phát triển mạng Internet”: Đó là “khi đã kết nối vào mạng Internet quốc tế thì phải giữ gìn được sự trong sạch và tính thống nhất về hệ tư tưởng – điều đó làm tăng khó khăn về sức thu hút của mạng và tăng chi phí, dẫn tới sự thách thức năng lực thuyết phục của chế độ. ”

Lối thoát khả thi hơn cho Triều Tiên trong tương lai là xây dựng một mạng chắn muỗi (mosquito network): như vậy sẽ vừa tận hưởng Internet lại đồng thời vẫn tận sức che chắn và lọc bỏ được mọi ảnh hưởng tiêu cực và duy trì được sự ổn định của chế độ Bình Nhưỡng.