Cách các thủ đoạn đánh cắp thông tin xác thực của Triều Tiên bị phơi bày qua vụ rò rỉ 'Kim'

Ý kiến trên Hacker News

• Tôi nghĩ những hacker chịu trách nhiệm cho vụ rò rỉ lần này chính là nhóm này, hãy xem bài viết tương ứng trên phrack.org

  • Có thể thấy góc nhìn tinh hoa kiểu hacker cổ điển qua câu: "Tôi là hacker, và tôi hoàn toàn đối lập với các người. Trong thế giới của tôi, mọi người đều bình đẳng. Chúng tôi không có màu da, quốc tịch, mục đích chính trị, và cũng không là nô lệ của bất kỳ ai". Nhưng không gian kiểu "mọi người đều bình đẳng" này thực ra là một ảo tưởng chỉ vận hành đúng với một số kiểu người nhất định

• Điều khiến vụ việc này thú vị là DPRK (Triều Tiên) và PRC (Trung Quốc) có liên hệ với nhau. Khó biết mức độ phối hợp giữa hai bên sâu đến đâu, nhưng rõ ràng họ không hoàn toàn độc lập. Tôi tự hỏi liệu việc bị chỉ đích danh công khai như thế này có khiến PRC khó phủ nhận hơn việc dính líu tới DPRK và các hoạt động của chính mình hay không

  • Dù Bắc Kinh có không hài lòng với hành vi của Bình Nhưỡng, Triều Tiên vẫn có tầm quan trọng chiến lược quá lớn đối với Trung Quốc, nên khả năng sự hỗ trợ của Trung Quốc lung lay hoặc họ cố che giấu điều đó là khá thấp
  • Hiện tại có vẻ vẫn chưa có bằng chứng chắc chắn không thể chối cãi nào cho thấy PRC không thể phủ nhận sự can dự của mình
  • Việc Trung Quốc hỗ trợ Triều Tiên không còn là bí mật nữa, và điều này ở mức độ tương tự như việc Mỹ hỗ trợ Hàn Quốc. Xét về vị trí địa chính trị, Trung Quốc còn có lý do chính đáng lớn hơn. Để hiểu bối cảnh này, nên tham khảo Monroe Doctrine. Khủng hoảng tên lửa Cuba thực ra nên được nhìn là Khủng hoảng tên lửa Thổ Nhĩ Kỳ. Khi Mỹ triển khai tên lửa hạt nhân Jupiter ở Thổ Nhĩ Kỳ, Liên Xô cũng triển khai đáp trả ở Cuba. Cuối cùng thế giới tiến sát bờ vực chiến tranh thế giới, nhưng Liên Xô lùi bước, và Mỹ cũng âm thầm rút tên lửa khỏi Thổ Nhĩ Kỳ Monroe Doctrine, xem thêm thông tin về tên lửa Jupiter
  • Trong cộng đồng an ninh thông tin, mối liên hệ Trung Quốc - Triều Tiên là điều đã được biết đến rộng rãi. Trung Quốc là quốc gia đầu tiên trên thế giới chính thức thành lập đơn vị tác chiến mạng quân sự. Triều Tiên đi theo sau với mục tiêu kiếm tiền, thậm chí còn mua được bất động sản như khách sạn ở đại lục Trung Quốc để dùng làm căn cứ tác chiến. Trung Quốc trên thực tế cũng đóng vai trò như một "tiệm giặt là", nhận USD từ thương mại với Triều Tiên để cung cấp hàng hóa

• Người ta nói rằng các kho GitHub cho công cụ tấn công như TitanLdr, minbeacon, Blacklotus, CobaltStrike-Auto-Keystore đã được sử dụng trong dữ liệu bị rò rỉ. Tôi thắc mắc vì sao GitHub lại cho phép phát triển các công cụ tấn công như thế trên nền tảng của mình. Không rõ đây đơn thuần là vấn đề tự do biểu đạt, hay vì các công cụ này cũng có giá trị học thuật

  • Những công cụ này thường được dùng trong kiểm thử xâm nhập và hoạt động red team. Cấm công khai chúng chỉ khiến phía phòng thủ không biết phương thức của kẻ tấn công, trong khi cũng chẳng cản trở được hacker thực sự có ác ý. Đây là kết luận đã được bàn đi bàn lại nhiều lần từ thập niên 90 đến 2000
  • Đây chủ yếu là các công cụ được nhà nghiên cứu bảo mật và pentester sử dụng
  • Vậy tôi tò mò không biết phương án thay thế sẽ là gì
  • Tôi cũng thắc mắc liệu GitHub có nên chặn các quốc gia bị trừng phạt như Iran hay Triều Tiên hay không, xem liên kết chính sách chính thức

• Tôi từng nghe rằng ở Triều Tiên, người bình thường rất khó học hoặc sở hữu máy tính. Nghe nói đây là cấu trúc chỉ chọn lọc và đào tạo một số ít tinh hoa, nên việc họ nắm được công nghệ hiện đại để tiến hành hack khá đáng ngạc nhiên

  • Hacker Triều Tiên có lẽ thuộc hàng giỏi nhất thế giới. Nếu chính phủ tuyển chọn học sinh từ sớm và đào tạo tập trung thì điều đó là khả thi. Ở phương Tây, giáo dục mang tính đại trà và ngay cả giáo dục đại học cũng khác với công việc hacker thực tế. Một hacker phương Tây 22 tuổi có thể chỉ có 6 tháng thực tập, trong khi hacker Triều Tiên ở độ tuổi đó có thể đã tích lũy nhiều năm kinh nghiệm
  • Đội ngũ Triều Tiên cũng đạt thành tích tốt trong nhiều cuộc thi lập trình, nên có thể thấy họ khá giỏi trong việc bồi dưỡng nhân tài IT tinh nhuệ số lượng ít
  • Có phản ứng kiểu "thật bất ngờ khi họ có công nghệ hiện đại để hack", nhưng thực ra việc tuyển chọn nhân tài không phải chuyện khó, và nếu cung cấp cho những người này động lực cùng điều kiện tốt nhất thì việc xuất hiện những hacker có năng lực lại là điều khá tự nhiên

• Tập dữ liệu bị rò rỉ liên kết với operator tên là "Kim" cho thấy khá cụ thể diện mạo các chiến dịch mạng của Triều Tiên. Nhưng tôi khó hiểu vì sao các hacker Triều Tiên lại để nguyên dấu vết như vậy. Thật khó hiểu khi họ để lại những mẩu dấu vết dẫn thẳng về Bình Nhưỡng thay vì tạo ra các dấu vết đánh lạc hướng tinh vi hơn

• Vấn đề lần này có nhiều điểm rất thú vị về mặt kỹ thuật. Một phần hạ tầng sử dụng các công cụ mà pentester hoặc những người phụ trách bảo mật khác cũng dùng, và nhìn vào đó có thể thấy rằng không tồn tại thứ gọi là "vũ khí thuần túy phòng thủ". Nhưng theo chiều ngược lại, thảo luận cũng rất dễ chuyển sang chỉ trích Triều Tiên và Trung Quốc. Nếu muốn chỉ ra tính hai mặt đó thì chỉ cần nhắc đến hai từ "Stuxnet" và "Pegasus"

• Mối liên hệ với Trung Quốc (Option A/B) có phần hơi bị phóng đại. Việc hacker Triều Tiên hoạt động ở Trung Quốc có thể đơn giản chỉ là vì khả năng tiếp cận Internet. Triều Tiên không có Internet công cộng, nên việc họ ở Trung Quốc để dùng Internet, giả làm người Trung Quốc, hay bị phía Trung Quốc điều khiển là những khả năng tách biệt nhau

• Đây là một phân tích cực kỳ chi tiết về quy trình làm việc của APT. Với mức độ như vậy, cũng có rủi ro là các tác nhân tấn công thông thường sẽ sao chép các thủ pháp tương tự để cố bắt kịp

  • Việc công khai thông tin có rủi ro tạo ra kẻ bắt chước, nhưng mặt khác nó cũng có thể cung cấp cơ sở phán đoán cho những người cần xây dựng chiến lược phòng thủ để chặn các tác nhân như vậy. Việc ngăn thông tin chỉ nằm trong tay một phía trên thực tế là điều không thể