Tin tặc Nga và Triều Tiên đánh cắp dữ liệu tài chính 2TB từ các ngân hàng

Cuộc tấn công ba đợt của Qilin

Báo cáo điều tra của Bitdefender, được công bố vào ngày 26 tháng 11, quy kết chiến dịch này cho Qilin (còn được gọi là Agenda hoặc phiên bản kế nhiệm của LockBit 3.0), một nhóm Ransomware-as-a-Service (RaaS) với các nhà điều hành Nga tuyển dụng các chi nhánh toàn cầu—bao gồm cả các tin tặc Triều Tiên—để thực hiện các cuộc tấn công giá trị cao.

Cuộc tấn công đã khai thác lỗ hổng chuỗi cung ứng phần mềm trong phần mềm trung gian ngân hàng của Hàn Quốc, cho phép truy cập ban đầu thông qua lừa đảo và nhồi thông tin đăng nhập trước khi di chuyển ngang đến các hệ thống cốt lõi. Ba giai đoạn:

• Đợt 1 (tháng 9): Do thám 10 mục tiêu, đánh cắp 500 GB dữ liệu sơ bộ để do thám.

• Đợt 2 (giữa tháng 10): Mã hóa và trích xuất dữ liệu từ 18 nạn nhân chính, thu về 1,2 TB dữ liệu cốt lõi.

• Đợt 3 (Cuối tháng 10): Các vụ tấn công chớp nhoáng từ 10 thực thể thứ cấp, bổ sung thêm 300 GB dữ liệu bị đánh cắp.

Trang web rò rỉ dữ liệu (DLS) chuyên dụng của Qilin trên Tor đã công bố vụ tấn công vào ngày 20 tháng 11, yêu cầu tiền chuộc lên tới 50 triệu đô la cho mỗi nạn nhân—được cho là "hoạt động yêu nước" chống lại các liên minh của Hàn Quốc tại Hoa Kỳ, với những tuyên truyền của Triều Tiên như "báo cáo cho Đồng chí Kim Jong-un" được lan truyền khắp các diễn đàn.

Kho dữ liệu 2 TB bao gồm thông tin nhận dạng cá nhân (PII) trị giá hàng triệu đô la, thông tin đăng nhập SWIFT và các bản ghi nhớ nội bộ—được định giá hơn 2 tỷ đô la dưới dạng đòn bẩy tống tiền, theo Chainalysis. Chưa có khoản tiền chuộc nào được trả, nhưng Bitdefender cảnh báo về việc "bán dữ liệu" trên các chợ đen web, tương tự như vụ trộm tiền điện tử trị giá 1,5 tỷ đô la của Lazarus Group vào năm 2025.

Lợi ích hội tụ gián điệp mạng

Nga và Triều Tiên ngày càng liên kết năng lực mạng của họ như một phần của hợp tác địa chính trị rộng lớn hơn, chia sẻ công cụ, cơ sở hạ tầng và mục tiêu.

Đối với Nga, các cuộc tấn công mạng vào hệ thống ngân hàng nước ngoài phục vụ các mục đích chiến lược: gây bất ổn cho đối thủ, thu thập thông tin tình báo và tạo điều kiện cho các nguồn thu từ ransomware.

Đối với Triều Tiên, động cơ trực tiếp hơn — tài trợ cho chế độ bị trừng phạt của mình bằng cách đánh cắp nguồn tài chính, truy cập dữ liệu tài chính nhạy cảm và tăng cường danh mục chiến tranh mạng.

Ngành ngân hàng của Hàn Quốc là một mục tiêu có giá trị cao là tiên tiến về công nghệ, được số hóa cao, hội nhập sâu rộng với thương mại toàn cầu và dễ bị tổn thương về mặt địa chính trị. Dữ liệu bị đánh cắp có thể sẽ được kiếm tiền, vũ khí hóa cho các cuộc xâm nhập trong tương lai hoặc được sử dụng để hỗ trợ thu thập thông tin tình báo về cả các thực thể chính phủ và tư nhân.

Tác động đến An ninh Quốc gia Hàn Quốc

Mặc dù vụ xâm phạm chưa gây ra thiệt hại tài chính trực tiếp cho tài khoản khách hàng, nhưng tác động chiến lược của nó lại nghiêm trọng hơn nhiều.

Dữ liệu thu được có thể cho phép kẻ tấn công:

• Thực hiện các cuộc xâm nhập mạng tiếp theo cực kỳ tinh vi.

• Mạo danh ngân hàng hoặc giám đốc điều hành trong các cuộc tấn công kỹ thuật xã hội.

• khai thác điểm yếu trong cơ sở hạ tầng nội bộ.

• Lập bản đồ các mô hình giao tiếp liên ngân hàng và luồng thanh toán.

Các cơ quan quản lý Hàn Quốc đã phát tín hiệu về các cuộc kiểm toán khẩn cấp, tăng cường giám sát ngành ngân hàng và xem xét toàn diện các giao thức an ninh mạng. Chính phủ cũng có thể kích hoạt sự phối hợp phòng thủ mạng liên ngành - bao gồm chia sẻ thông tin tình báo với Hoa Kỳ và Nhật Bản - do có sự tham gia của các tác nhân có liên hệ với nhà nước Triều Tiên.

Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.