Triều Tiên hack hai công ty chip Hàn Quốc để đánh cắp dữ liệu kỹ thuật

NIS cho biết các cuộc tấn công này đã gia tăng trong nửa cuối năm 2023 cho đến gần đây, nhắm mục tiêu vào các máy chủ tiếp xúc với Internet, dễ mắc các lỗ hổng đã biết để truy cập lần đầu vào mạng công ty.

Sau khi mạng bị xâm phạm, kẻ tấn công đã đánh cắp dữ liệu từ các máy chủ chứa tài liệu và dữ liệu nhạy cảm.

Trong các trường hợp được NIS quan sát, đối thủ Triều Tiên đã sử dụng chiến thuật "Living off the land", bao gồm việc lạm dụng các công cụ phần mềm hợp pháp cho mục đích xấu nhằm trốn tránh sự phát hiện của các sản phẩm bảo mật.

NIS đề cập đến ít nhất hai cuộc tấn công mạng vào các thực thể riêng biệt, xảy ra vào tháng 12 năm 2023 và tháng 2 năm 2024, trong đó máy chủ chính sách bảo mật và quản lý cấu hình của công ty đã bị tấn công.

Điều này được cho là đã dẫn đến việc xâm phạm bản vẽ thiết kế sản phẩm và hình ảnh địa điểm cơ sở, cùng với các dữ liệu nhạy cảm khác.

Hai nạn nhân không được nêu tên trong báo cáo, nhưng điều đáng chú ý là Hàn Quốc là quê hương của hai nhà sản xuất chip hàng đầu là Samsung Electronics và SK Hynix, những công ty phát triển và sản xuất nhiều loại bộ xử lý, hệ thống trên chip và DRAM và các sản phẩm flash NAND.

Theo Bộ Thương mại Hoa Kỳ, Samsung Electronics và SK Hynix chịu trách nhiệm về 73% thị phần DRAM toàn cầu và 51% thị trường flash NAND.

Hai công ty này đóng vai trò quan trọng trong chuỗi cung ứng bán dẫn toàn cầu, cung cấp chip cho nhiều công ty đáng chú ý trong nhiều ngành công nghiệp khác nhau trên toàn cầu, bao gồm Apple, Google, Microsoft, Amazon, Sony, Dell và nhiều nhà sản xuất ô tô và điện tử tiêu dùng.

NIS cho rằng những cuộc tấn công mạng này nhằm mục đích thu thập thông tin kỹ thuật có giá trị mà chính quyền Triều Tiên có thể sử dụng để phát triển chương trình sản xuất chip của riêng mình và đáp ứng nhu cầu thiết bị quân sự.

"Liên quan đến xu hướng hack này, Cơ quan Tình báo Quốc gia tin rằng Triều Tiên có thể đã bắt đầu chuẩn bị cho việc sản xuất chất bán dẫn của riêng mình do gặp khó khăn trong việc thu mua chất bán dẫn do các lệnh trừng phạt ảnh hưởng đến việc phát triển vũ khí như vệ tinh và tên lửa." - NIS cho biết.

Tổ chức intel cho biết họ đã thông báo cho các nạn nhân trong nước về các cuộc tấn công mạng và đưa ra khuyến nghị về cách phát hiện và ngăn chặn chúng.

Một quan chức của NIS cũng nhấn mạnh tầm quan trọng của việc áp dụng các bản cập nhật bảo mật và kiểm soát truy cập nghiêm ngặt trên các máy chủ có kết nối internet, cũng như áp dụng và cập nhật nhất quán các quy trình xác thực mạnh mẽ cho quản trị viên để ngăn chặn truy cập trái phép thông qua các tài khoản đặc quyền bị chiếm đoạt.

Tin tặc Triều Tiên có lịch sử lâu dài trong việc nhắm mục tiêu vào Hàn Quốc trong các cuộc tấn công gián điệp mạng nhằm đánh cắp dữ liệu có thể thúc đẩy các chương trình hoặc chương trình nghị sự trong nước của họ.

Những hoạt động này đã khiến chính phủ Hoa Kỳ trừng phạt nhóm hack DPRK được gọi là 'Kimsuky', nhóm có liên quan đến nhiều cuộc tấn công khác nhau, bao gồm cả vụ vi phạm Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc.

Nguồn: bleepingcomputer.com