Chiến dịch ransomware nhắm vào hạ tầng tài chính của Hàn Quốc: Các tác nhân đe dọa Nga và Triều Tiên đứng sau vụ rò rỉ dữ liệu 2TB

Cảnh quan an ninh tại Hàn Quốc đã trở nên tồi tệ hơn rõ rệt khi các hacker có phối hợp, liên kết với các tác nhân cấp nhà nước, đã phát động một làn sóng tấn công chưa từng có nhằm vào lĩnh vực tài chính của quốc gia này. Trong khoảng thời gian từ tháng 9 đến tháng 10 năm 2024, hơn 40 tổ chức tài chính và ngân hàng đã trở thành nạn nhân của những gì các nhà nghiên cứu an ninh hiện gọi là chiến dịch phối hợp do Qilin, một hoạt động ransomware-as-a-service (RaaS) có trụ sở tại Nga, điều hành cùng các tác nhân mạng Bắc Triều Tiên được biết đến với tên Moonstone Sleet.

Quy mô của cuộc tấn công: Từ lỗ hổng chuỗi cung ứng đến xâm nhập hàng loạt

Báo cáo Thủ Thách 2024 của công ty an ninh mạng Bitdefender đã tiết lộ một bức tranh rùng rợn: các hacker đã xâm nhập các nhà cung cấp dịch vụ quản lý (MSPs) phục vụ các tổ chức tài chính Hàn Quốc, sử dụng điểm truy cập này để phát tán phần mềm độc hại trên toàn bộ mạng lưới khách hàng của họ. Kết quả thật đáng kinh ngạc—33 vụ việc riêng biệt được truy vết trong suốt năm 2024, trong đó 25 vụ tập trung vào tháng 9, thể hiện mức tăng gấp mười hai lần so với trung bình hàng tháng.

Phạm vi hoạt động còn vượt xa việc đòi tiền chuộc đơn thuần. Các tác nhân đột nhập trộm khoảng 2TB dữ liệu cực kỳ nhạy cảm, bao gồm các tài liệu chứa thông tin tình báo quân sự, dự báo kinh tế, và bản thiết kế hạ tầng cho các dự án quan trọng như nhà máy LNG và mạng lưới cầu. Theo phân tích của Bitdefender, hơn 1 triệu tệp đã bị đánh cắp qua ba đợt tấn công riêng biệt, với các hacker cố tình dựng hoạt động của họ như các cuộc chiến chống tham nhũng để hợp pháp hóa việc công khai dữ liệu.

Mô hình hoạt động của Qilin và các hàm ý địa chính trị

Qilin hoạt động theo mô hình Ransomware-as-a-Service, thuê các nhà điều hành liên kết thực hiện các cuộc tấn công trong khi duy trì kiểm soát trung tâm đối với hạ tầng và chiến lược đòi tiền chuộc. Nguồn gốc Nga của nhóm này đã được ghi nhận rõ ràng: các thành viên sáng lập hoạt động trong các diễn đàn mạng lưới cyber bằng tiếng Nga, và tổ chức này rõ ràng tránh nhắm vào các thực thể thuộc Cộng đồng Các quốc gia Độc lập — một đặc điểm nổi bật của hạ tầng tội phạm liên kết nhà nước.

Điểm đặc biệt của chiến dịch này là sự tham gia của các tác nhân Bắc Triều Tiên. Sự tham gia của Moonstone Sleet báo hiệu một nhiệm vụ thu thập tình báo nằm dưới lớp lợi nhuận của các hoạt động ransomware thông thường. Các thông tin tình báo cho thấy dữ liệu bị đánh cắp đang được chuẩn bị cho lãnh đạo Bắc Triều Tiên, cho thấy hoạt động gián điệp địa chính trị vượt ra ngoài việc đòi tiền chuộc tài chính đơn thuần.

Dòng thời gian: Quá trình ngành tài chính Hàn Quốc bị vỡ vụn

Giai đoạn Một (Ngày 14 tháng 9 năm 2024): Làn sóng xâm nhập ban đầu đã tiết lộ hồ sơ nhạy cảm của mười công ty quản lý tài chính, gây ra cảnh báo ngay lập tức trong cộng đồng an ninh.

Giai đoạn Hai (Ngày 17-19 tháng 9 năm 2024): Một đợt rò rỉ dữ liệu thứ hai đã bổ sung 18 nạn nhân nữa vào trang rò rỉ, với các hacker đe dọa làm gián đoạn thị trường chứng khoán Hàn Quốc thông qua các đợt phát hành dữ liệu phối hợp.

Giai đoạn Ba (Ngày 28 tháng 9 - 4 tháng 10 năm 2024): Các dữ liệu còn lại trong đợt cuối cùng đã được phát hành. Bốn bài đăng sau đó đã bị xóa khỏi trang rò rỉ—có thể là do các khoản tiền chuộc đã được thanh toán thành công từ các mục tiêu.

Một sự cố đáng chú ý đã tiết lộ phạm vi của cuộc tấn công: hơn 20 nhà quản lý tài sản đã bị xâm nhập qua một lỗ hổng chuỗi cung ứng tại nhà cung cấp dịch vụ GJTec, theo báo cáo của tờ JoongAng Daily của Hàn Quốc ngày 23 tháng 9 năm 2024.

Bối cảnh toàn cầu: Vị trí mong manh của Hàn Quốc

Phân tích so sánh của Bitdefender xếp Hàn Quốc là quốc gia bị ảnh hưởng bởi ransomware thứ hai trên toàn cầu trong năm 2024, chỉ sau Hoa Kỳ. Sự khác biệt này phản ánh cả mức độ tinh vi của các hacker và các lỗ hổng trong hạ tầng an ninh mạng của Hàn Quốc—đặc biệt là sự phụ thuộc vào các nhà cung cấp MSP trung tâm để quản lý CNTT trong các mạng lưới tài chính.

Tính đến tháng 10 năm 2024, riêng Qilin đã gây ra hơn 180 nạn nhân trên toàn thế giới, chiếm khoảng 29% tổng số các vụ ransomware toàn cầu theo đánh giá tình báo mối đe dọa của NCC Group.

Những tác động đối với hệ sinh thái Crypto và Fintech

Lỗ hổng này đặt ra các rủi ro trực tiếp cho các sàn giao dịch tiền điện tử và các nền tảng fintech hoạt động tại hoặc giao dịch với thị trường Hàn Quốc. Dữ liệu tài chính bị đánh cắp có thể giúp các cuộc tấn công xã hội, tấn công bằng phương pháp credential stuffing hoặc ransomware nhắm vào hạ tầng crypto. Thêm vào đó, sự bất ổn của các tổ chức tài chính truyền thống làm xói mòn niềm tin vào toàn bộ hệ sinh thái tài chính, có thể gây ra dòng chảy vốn ra hoặc vào các tài sản kỹ thuật số.

Các biện pháp phòng thủ cần thực hiện ngay lập tức

Các nhà nghiên cứu an ninh khuyến nghị một chiến lược phòng thủ nhiều lớp:

Cứng hóa chuỗi cung ứng: Thực hiện các quy trình kiểm tra kỹ lưỡng đối với tất cả các nhà cung cấp dịch vụ quản lý, bao gồm kiểm thử xâm nhập và kiến trúc mạng zero-trust nhằm hạn chế di chuyển ngang trong hệ thống ngay cả khi MSP bị xâm phạm.

Kiểm soát truy cập: Triển khai xác thực đa yếu tố trên tất cả các hệ thống tài chính và phân đoạn mạng để hạn chế thiệt hại khi xảy ra xâm nhập. Nếu các tổ chức Hàn Quốc đã áp dụng phân đoạn mạng chi tiết hơn, lượng dữ liệu 2TB bị trộm có thể đã giảm đáng kể.

Giám sát mối đe dọa: Thiết lập giám sát 24/7 các chỉ số liên quan đến Qilin và các tác nhân nhà nước, bao gồm các bất thường hành vi điển hình của hoạt động RaaS.

Đào tạo nhân viên: Thực hiện các chương trình nâng cao nhận thức về an ninh liên tục, tập trung vào phòng chống phishing, vì việc truy cập ban đầu thường dựa vào kỹ thuật xã hội nhắm vào nhân viên của các nhà cung cấp dịch vụ đáng tin cậy.

Kết luận: Một lời cảnh tỉnh cho các tổ chức tài chính toàn cầu

Chiến dịch ransomware của Hàn Quốc cho thấy các tác nhân nhà nước và tội phạm mạng hiện đang hoạt động trong các hệ sinh thái phối hợp, làm mờ ranh giới các mối đe dọa truyền thống. Đối với các bên liên quan đến tiền điện tử và fintech, sự kiện này nhấn mạnh một điểm yếu cực kỳ nghiêm trọng: hạ tầng tài chính mà các thị trường kỹ thuật số phụ thuộc vẫn còn dễ bị tổn thương trước các đối thủ tinh vi, có nguồn lực mạnh. Các tổ chức cần ưu tiên an ninh chuỗi cung ứng, thực hiện các chiến lược phòng thủ đa tầng và chuẩn bị các quy trình phản ứng sự cố trước khi làn sóng tấn công tiếp theo xảy ra. Cửa sổ để chủ động phòng vệ đang thu hẹp khi Qilin và các đối tác liên kết nhà nước của họ tiếp tục hoạt động đến năm 2025.