Tin tặc Triều Tiên xâm nhập hệ thống quảng cáo của Google, Naver để tấn công mạng

Theo thông tin do Hãng thông tấn Yonhap công bố ngày 19/1, cùng báo cáo đánh giá mối đe dọa chuyên sâu của Trung tâm An ninh Genians Security Center, cộng đồng an ninh mạng quốc tế đang đối mặt với một thách thức nghiêm trọng mới. Báo cáo cho thấy tổ chức tin tặc Konni, có liên hệ với chính quyền Triều Tiên, đã triển khai một hình thức tấn công mạng có mức độ tinh vi và che giấu cao, bằng cách lợi dụng hệ thống quảng cáo hợp pháp của Naver và Google để phát tán mã độc quy mô lớn.

Đây được xem là một bước tiến đáng kể về mặt chiến thuật trong các chiến dịch tấn công mạng do nhà nước Triều Tiên hậu thuẫn, khi các mã độc được “ngụy trang” bên trong những dịch vụ số hợp pháp mà công chúng sử dụng hằng ngày.

Bối cảnh và chiến lược của nhóm tin tặc Konni

Konni không phải là cái tên xa lạ trong giới tình báo an ninh mạng quốc tế. Nhóm này được xếp vào loại mối đe dọa dai dẳng tiên tiến (APT), từng nhiều lần bị phát hiện liên quan đến các hoạt động gián điệp mạng. Trong thời gian dài, Konni được cho là có mối liên hệ chặt chẽ với một nhóm tin tặc Triều Tiên khác là Kimsuky, thậm chí có dấu hiệu chia sẻ hạ tầng và mã tấn công.

Cả hai nhóm đều bị nghi có sự hậu thuẫn từ Bình Nhưỡng, với mục tiêu hoạt động thường xoay quanh lợi ích quốc gia Triều Tiên, bao gồm đánh cắp thông tin ngoại giao, bí mật quốc phòng và theo dõi các cá nhân bất đồng chính kiến.

Trước đây, Konni chủ yếu sử dụng hình thức lừa đảo qua email có chủ đích (spear phishing), giả mạo công văn hoặc bản tin để dụ người nhận mở tệp độc hại. Tuy nhiên, báo cáo mới cho thấy chiến lược của nhóm đã được nâng cấp. Thay vì chỉ dựa vào kỹ thuật thao túng tâm lý qua email, Konni chuyển sang khai thác trực tiếp hạ tầng Internet, cụ thể là các hệ thống quảng cáo trực tuyến – một bước đi cho thấy sự linh hoạt và mức độ tinh vi ngày càng cao của lực lượng tin tặc Triều Tiên.

“Vũ khí hóa” cơ chế theo dõi lượt nhấp chuột

Trọng tâm kỹ thuật của đợt tấn công này nằm ở việc lợi dụng cơ chế theo dõi lượt nhấp chuột (click tracking) trong quảng cáo trực tuyến. Trong hoạt động quảng cáo thông thường, khi người dùng nhấp vào một quảng cáo, trình duyệt sẽ không truy cập ngay trang đích, mà trước tiên đi qua một liên kết trung gian do nền tảng quảng cáo quản lý. Liên kết này dùng để ghi nhận dữ liệu nhấp chuột, phân tích nguồn truy cập và tính phí, sau đó mới chuyển hướng người dùng đến trang cuối cùng.

Konni đã phát hiện ra điểm yếu trong quy trình này. Theo phân tích của Genians Security Center, tin tặc không trực tiếp tấn công máy chủ của Naver hay Google, mà lợi dụng logic chuyển hướng trong hệ thống quảng cáo. Chúng giả mạo hoặc chiếm quyền kiểm soát các liên kết trung gian, khiến khi người dùng nhấp vào những quảng cáo tưởng chừng hợp pháp – hoặc các liên kết quảng cáo được gửi kèm trong email lừa đảo – quá trình ban đầu vẫn đi qua máy chủ quảng cáo đáng tin cậy, nhưng lệnh chuyển hướng sau đó đã bị can thiệp.

Kết quả là người dùng bị dẫn đến các máy chủ độc hại do tin tặc kiểm soát, nơi lưu trữ các tệp mã độc được ngụy trang tinh vi. Do tên miền ban đầu thuộc về các nền tảng uy tín như Naver hoặc Google, nhiều phần mềm bảo mật và tường lửa truyền thống coi đây là lưu lượng “an toàn” và cho phép truy cập, khiến tỷ lệ tấn công thành công tăng lên đáng kể.

Mở rộng phạm vi tấn công: từ Naver sang Google

Một điểm đáng chú ý trong báo cáo là sự mở rộng phạm vi tấn công. Ban đầu, Konni tập trung khai thác hệ thống quảng cáo của Naver – nền tảng có lượng người dùng lớn nhất tại Hàn Quốc, phù hợp với mục tiêu lâu nay của nhóm là các cơ quan chính phủ, viện nghiên cứu và cộng đồng người đào tẩu khỏi Triều Tiên.

Tuy nhiên, dữ liệu giám sát gần đây cho thấy nhóm đã mở rộng sang hệ thống quảng cáo của Google. Đây là một thay đổi mang ý nghĩa chiến lược quan trọng. Với vai trò là công cụ tìm kiếm và mạng quảng cáo lớn nhất thế giới, Google có phạm vi phủ sóng toàn cầu. Việc Konni khai thác nền tảng này cho thấy mục tiêu tấn công có thể không còn giới hạn trong khu vực bán đảo Triều Tiên, mà đang hướng tới cộng đồng quốc tế rộng lớn hơn.

Giới chuyên gia nhận định, động thái này có thể cho thấy Triều Tiên đang tìm kiếm nguồn thu thập thông tin đa dạng hơn, hoặc chuẩn bị xây dựng một mạng lưới máy tính ma (botnet) quy mô lớn để phục vụ các chiến dịch trong tương lai.

“Cuộc tấn công Poseidon”

Trong quá trình phân tích ngược mã độc thu được, các chuyên gia an ninh mạng phát hiện một từ khóa đáng chú ý: “Poseidon-Attack” (Cuộc tấn công Poseidon). Phát hiện này giúp làm rõ hơn cấu trúc tổ chức đằng sau chiến dịch tấn công.

Việc sử dụng một mật danh cụ thể cho thấy đây không phải hành động đơn lẻ hay tự phát của cá nhân tin tặc, mà là một chiến dịch có tổ chức, được chỉ đạo từ trên xuống. Trong chiến tranh mạng, các chiến dịch có tên mã riêng thường đi kèm ngân sách độc lập, mục tiêu chiến lược rõ ràng và đội ngũ phát triển, duy trì chuyên trách.

Điều này cũng cho thấy Konni có thể đang sử dụng hệ thống quản lý hậu trường để theo dõi tỷ lệ lây nhiễm, kiểm soát các máy bị xâm nhập và liên tục cập nhật mã độc nhằm né tránh sự phát hiện của phần mềm diệt virus. Mô hình này tương tự hình thức “mã độc như một dịch vụ” (Malware-as-a-Service), phản ánh mức độ chuyên nghiệp cao của các nhóm tin tặc cấp quốc gia Triều Tiên.

Cảnh báo và khuyến nghị từ chuyên gia an ninh mạng

Trước sự tinh vi ngày càng gia tăng của các cuộc tấn công mạng từ Triều Tiên, giới chuyên gia an ninh mạng đã đưa ra những cảnh báo nghiêm khắc. Chiến dịch lần này cho thấy một thực tế đáng lo ngại: khi các cuộc tấn công xuất phát từ chính những nền tảng mà người dùng vốn tin cậy như Google hay Naver, ranh giới phòng thủ trở nên vô cùng mong manh.

Đối phó với mối đe dọa này, các chuyên gia đưa ra một số khuyến nghị cụ thể:

• Cảnh giác với các tệp “lối tắt”: Các tệp shortcut (.lnk) chứa liên kết là phương thức quen thuộc của Konni. Người dùng cần đặc biệt thận trọng với các tệp .lnk, .iso hoặc tệp nén không rõ nguồn gốc, kể cả khi người gửi có vẻ quen biết hoặc mang danh nghĩa cơ quan chính thức.
• Kiểm tra tính xác thực của liên kết: Trước khi nhấp vào liên kết trong email, người dùng nên di chuột để xem trước địa chỉ URL, chú ý các liên kết quá dài hoặc chứa tham số bất thường.
• Tăng cường bảo vệ thiết bị đầu cuối: Các biện pháp chặn theo danh sách đen truyền thống không còn đủ hiệu quả. Doanh nghiệp nên triển khai hệ thống phát hiện và phản ứng điểm cuối (EDR), sử dụng phân tích hành vi để phát hiện mã độc, chẳng hạn như trường hợp trình duyệt kích hoạt PowerShell hoặc cửa sổ dòng lệnh bất thường.
• Chặn và lọc quảng cáo: Trong môi trường mạng doanh nghiệp, việc triển khai dịch vụ lọc DNS hoặc chặn quảng cáo có thể ảnh hưởng phần nào đến trải nghiệm người dùng, nhưng trong giai đoạn rủi ro cao, đây là biện pháp hiệu quả để cắt đứt đường lây lan của các cuộc tấn công thông qua mạng quảng cáo.

Tổng thể, việc tin tặc Triều Tiên lợi dụng hệ thống quảng cáo của Naver và Google để tiến hành “cuộc tấn công Poseidon” đã phơi bày một xu hướng nguy hiểm trong chiến tranh mạng hiện đại: các đối tượng tấn công ngày càng tìm cách ẩn mình trong những dịch vụ hợp pháp và đáng tin cậy. Đây không chỉ là hồi chuông cảnh báo đối với Hàn Quốc, mà còn đối với toàn bộ cộng đồng an ninh mạng toàn cầu, buộc các chính phủ và doanh nghiệp phải xem xét lại cơ chế “niềm tin” dành cho các nền tảng lớn, đồng thời xây dựng hệ thống phòng thủ đa tầng, linh hoạt hơn.