Nhóm Hacker của Bắc Triều Tiên đã thành lập công ty bình phong tại Mỹ - phân phối phần mềm độc hại cho các nhà phát triển tài sản tiền điện tử | CoinDesk JAPAN（コインデスク・ジャパン）

• Hacker Bắc Triều Tiên đã thành lập một công ty giả ở Mỹ nhằm nhắm mục tiêu vào các nhà phát triển tài sản tiền điện tử, theo thông tin từ công ty an ninh Silent Push.
• Trong chiến dịch này, nhóm Lazarus và các công ty ảo liên quan “Blocknovas” và “Softglide” đã được thành lập.
• FBI đã tịch thu tên miền của Blocknovas vì bị cáo buộc đã sử dụng để phân phối phần mềm độc hại thông qua việc đăng tuyển dụng giả.

Các hacker Bắc Triều Tiên đã giả mạo các doanh nhân công nghệ người Mỹ và âm thầm thành lập các công ty tại New York và New Mexico. Đây là một phần trong chiến dịch nhắm vào các nhà phát triển trong ngành tài sản tiền điện tử (tiền điện tử), theo thông báo của công ty an ninh Silent Push vào ngày 24 tháng 4.

Hai công ty Blocknovas và Softglide đã được thành lập bằng cách sử dụng danh tính và địa chỉ giả mạo. Chiến dịch này liên quan đến một nhóm con trong nhóm Lazarus.

Nhóm Hacker Lazarus được Bắc Triều Tiên hỗ trợ đã sử dụng công nghệ và chiến lược tiên tiến trong vài năm qua để nhắm mục tiêu vào những cá nhân và doanh nghiệp thiếu cảnh giác, đánh cắp tài sản tiền điện tử trị giá hàng tỷ đô la.

“Đây là một trường hợp hiếm hoi mà các Hacker của Bắc Triều Tiên thực sự thành lập một công ty hợp pháp tại Mỹ và xây dựng một công ty mặt trận để tấn công những người tìm việc có cảnh giác thấp,” ông Kasey Best, Giám đốc tình báo mối đe dọa của Silent Push, cho biết.

Hacker có phương thức tinh vi và hiệu quả. Họ dụ dỗ các nhà phát triển tài sản tiền điện tử tham gia phỏng vấn bằng các hồ sơ và bài đăng tuyển dụng giả mạo giống như LinkedIn, và trong quá trình tuyển dụng, họ khiến người dùng tải xuống phần mềm độc hại được ngụy trang như công cụ tuyển dụng.

Silence Push chỉ ra rằng có nhiều nạn nhân của chiến dịch này, đặc biệt là có nhiều nạn nhân được liên lạc qua Blocknovas. Blocknovas được cho là hoạt động tích cực nhất trong số các công ty mặt trận. Địa chỉ đăng ký của Blocknovas tại South Carolina đã được phát hiện là một khu đất trống, trong khi Softglide được đăng ký tại cơ quan thuế của Buffalo, New York.

Silent Push đã bổ sung rằng phần mềm độc hại được sử dụng trong chiến dịch này có chứa ít nhất 3 chủng virus liên quan đến lực lượng mạng của Bắc Triều Tiên. Những chương trình này đánh cắp dữ liệu, cung cấp quyền truy cập từ xa vào hệ thống bị nhiễm, và hoạt động như là các kênh xâm nhập cho phần mềm gián điệp và ransomware bổ sung.

Theo báo cáo của Reuters, Cục Điều tra Liên bang Mỹ (FBI) đã tịch thu miền của Blocknovas. Trong thông báo được đăng trên trang web, miền này được mô tả là “đã bị xóa theo một phần của các biện pháp thực thi pháp luật vì đã được sử dụng bởi các tội phạm mạng của Bắc Triều Tiên để lừa đảo cá nhân thông qua các bài đăng tuyển dụng giả và phân phối phần mềm độc hại.”