Khi OPSEC thất bại: Tại sao việc xâm nhập tiền điện tử của Triều Tiên lại là một vấn đề hệ thống của ngành công nghiệp

Ngành công nghiệp tiền điện tử đối mặt với cuộc khủng hoảng an ninh còn nghiêm trọng hơn nhiều so với những gì thường được thừa nhận. Theo Pablo Sabbatella, sáng lập công ty an ninh Web3 Opsek và thành viên Liên minh An ninh, các thất bại có hệ thống trong an ninh vận hành đã tạo ra một cơn bão hoàn hảo—cho phép các đặc vụ Triều Tiên thiết lập chân đứng trong khoảng 15%-20% các công ty tiền điện tử trên toàn thế giới.

Quy mô của sự xâm nhập

Các con số thật đáng báo động. Trong một cuộc phỏng vấn với DL News sau bài thuyết trình tại hội nghị Devconnect ở Buenos Aires, Sabbatella tiết lộ rằng các đơn xin việc trong lĩnh vực crypto có thể bị tràn ngập bởi các đặc vụ Triều Tiên, với ước tính khoảng 30%-40% có thể bắt nguồn từ các tác nhân được nhà nước tài trợ. Tiết lộ này nhấn mạnh một sự thật rộng lớn hơn: “Tình hình với Triều Tiên còn tồi tệ hơn nhiều so với mọi người tưởng tượng,” Sabbatella cảnh báo.

Các khoản đầu tư tài chính là rất lớn. Bộ Tài chính Mỹ đã báo cáo vào tháng 11 rằng các hacker Triều Tiên đã rút hơn 3 tỷ đô la trong tiền điện tử trong vòng ba năm qua—số tiền này trực tiếp đổ vào các chương trình phát triển vũ khí hạt nhân ở Bình Nhưỡng.

Cách thức hoạt động của sự xâm nhập

Mô hình hoạt động dựa trên khai thác các điểm yếu về con người thay vì chỉ dựa vào các khai thác kỹ thuật thuần túy. Các công nhân Triều Tiên vượt qua các lệnh trừng phạt quốc tế bằng cách ủy quyền danh tính của họ qua một hệ thống proxy. Các nhà tuyển dụng trên các nền tảng tự do như Upwork và Freelancer tích cực tuyển dụng các cá nhân từ Ukraine, Philippines và các quốc gia đang phát triển khác, đưa ra các điều khoản đơn giản: các công nhân bị xâm phạm nhận 20% thu nhập trong khi các đặc vụ Triều Tiên giữ lại 80%.

Chiến lược này mang tính xã hội rõ ràng hơn. Sabbatella giải thích mô hình: các đặc vụ giả dạng là người không nói tiếng Anh cần hỗ trợ phỏng vấn, sau đó lây nhiễm phần mềm độc hại vào máy tính của “người đứng đầu” của họ để lấy địa chỉ IP tại Mỹ. Điều này giúp họ có quyền truy cập internet rộng hơn so với các hoạt động trực tiếp từ Triều Tiên.

Khi đã xâm nhập vào các công ty, những kẻ xâm nhập này chứng tỏ giá trị vô cùng lớn đối với ban quản lý. Họ thể hiện năng suất xuất sắc, làm việc nhiều giờ liên tục và không gây ra bất kỳ phàn nàn nào—những yếu tố giúp họ tránh bị phát hiện và sa thải.

Khủng hoảng OPSEC: Điểm yếu lớn nhất của crypto

Tuy nhiên, tất cả những điều này đều không thể xảy ra nếu không có một điểm yếu căn bản trong chính ngành công nghiệp này. “Ngành công nghiệp crypto có thể có hệ thống an ninh vận hành tồi tệ nhất trong toàn bộ ngành công nghiệp máy tính,” Sabbatella nói thẳng thừng. Các nhà sáng lập vẫn bị lộ danh tính, quản lý khóa riêng không đủ an toàn, và nhân viên vẫn dễ bị tấn công qua các chiến thuật xã hội.

Sự thất bại trong an ninh vận hành này tạo ra các rủi ro dây chuyền. Khi các đặc vụ Triều Tiên có được quyền truy cập hợp pháp vào hệ thống thông qua tuyển dụng, họ không chỉ trộm tiền ngay lập tức—họ còn thao túng hạ tầng hỗ trợ các hoạt động crypto lớn và truy cập vào các tài sản tổ chức nhạy cảm. Vấn đề càng trở nên nghiêm trọng khi theo như Sabbatella, “hầu hết mọi người đều sẽ bị nhiễm malware ít nhất một lần trong đời.”

Phát hiện và phòng ngừa

Có một bài kiểm tra thực tế để xác định các đặc vụ bị xâm nhập: các câu hỏi trực tiếp về các nhân vật địa chính trị sẽ tiết lộ vấn đề. Các đặc vụ dưới sự kiểm soát của Triều Tiên không thể phát biểu phê phán—những hạn chế về tư tưởng khiến họ không thể trả lời trung thực như các nhân viên chân chính.

Con đường phía trước đòi hỏi các công ty crypto phải đánh giá lại toàn diện khung an ninh vận hành của họ. Cho đến khi ngành công nghiệp này ưu tiên OPSEC và các quy trình an ninh phù hợp với các ngành công nghệ truyền thống, nó vẫn dễ bị tổn thương trước các chiến dịch xâm nhập do nhà nước tài trợ, coi hạ tầng tiền điện tử vừa là mục tiêu tài chính vừa là tài sản chiến lược.