Cuồng Nộ của Qilin tại Hàn Quốc: Cách các diễn viên Nga và Triều Tiên tổ chức vụ trộm dữ liệu tài chính 2TB

Khi tháng 9 năm 2024 đến, lĩnh vực tài chính của Hàn Quốc đối mặt với một cuộc tấn công chưa từng có tiền lệ. Các operator ransomware Qilin—hoạt động qua các nhóm phối hợp liên quan đến các tác nhân đe dọa Nga và Triều Tiên—đã tung ra 25 cuộc tấn công lớn trong một tháng, vượt xa mức trung bình hàng tháng của quốc gia này là hai vụ. Sự hội tụ của các lực lượng này đã phơi bày một điểm yếu nghiêm trọng: các nhà cung cấp dịch vụ quản lý bị xâm phạm (MSPs) trở thành bệ phóng để xâm nhập vào các mạng lưới tài chính trên toàn quốc. Đến mùa thu, hơn 40 tổ chức Hàn Quốc trong lĩnh vực tài chính đã bị mắc kẹt, trong đó có 24 mục tiêu cụ thể là các ngân hàng và công ty quản lý tài sản, và một lượng dữ liệu nhạy cảm khổng lồ lên tới 2TB—bao gồm cả thông tin tình báo quân sự và kinh tế—đang chảy vào tay các hacker.

Cấu trúc của một thảm họa chuỗi cung ứng

Báo cáo Threat Debrief tháng 10 năm 2024 của Bitdefender đã phân tích các lớp của chiến dịch phối hợp này, tiết lộ một hoạt động lai phức tạp. Thay vì các chiến thuật brute-force truyền thống, các hacker khai thác điểm yếu trong chuỗi cung ứng: các nhà cung cấp dịch vụ quản lý phục vụ nhiều tổ chức tài chính cùng lúc. Bằng cách xâm phạm một MSP duy nhất, các tác nhân đe dọa đạt được điều mà bình thường phải mất hàng chục vụ xâm nhập riêng lẻ.

Cấu trúc theo từng đợt thể hiện sự chính xác có tính toán:

• Đợt 1 (Ngày 14 tháng 9 năm 2024): 10 công ty quản lý tài chính bị tấn công trong một đợt phối hợp
• Đợt 2 (Ngày 17-19 tháng 9 năm 2024): 8 nạn nhân bổ sung bị lộ diện
• Đợt 3 (Ngày 28 tháng 9 - 4 tháng 10 năm 2024): 10 thực thể tài chính khác bị xâm phạm

Tổng cộng, đã có 33 vụ việc xảy ra trong giai đoạn 2024-2025, phần lớn do Qilin trực tiếp thực hiện. Chiến dịch Leaks của Hàn Quốc đã trộm khoảng 1 triệu tập tin—một khối lượng cho thấy quá trình do thám và di chuyển ngang trong mạng lưới nạn nhân đã diễn ra trong nhiều tháng trước đó.

Mối liên hệ Nga-Triều Tiên: Hơn cả trấn lột đơn thuần

Điểm đặc biệt của chiến dịch này so với các ransomware thông thường là động cơ kép. Qilin, một nhóm có nguồn gốc Nga hoạt động qua mô hình Ransomware-as-a-Service (RaaS), thường tập trung vào khai thác tài chính. Tuy nhiên, các nhà điều tra của Bitdefender đã phát hiện các liên kết đáng tin cậy với các tác nhân Triều Tiên—cụ thể là nhóm được biết đến với tên Moonstone Sleet—với mục tiêu chính dường như là gián điệp chứ không phải thu tiền chuộc.

Bằng chứng xuất hiện trong các cuộc thảo luận bị rò rỉ trên các diễn đàn. Khi GJTec, một nhà cung cấp dịch vụ lớn của Hàn Quốc, bị xâm phạm (ảnh hưởng đến hơn 20 nhà quản lý tài sản), hacker đã đăng tải các tài liệu mang giá trị tình báo quân sự. Trong một vụ xâm nhập vào lĩnh vực xây dựng tháng 8 năm 2024, các bản thiết kế bị đánh cắp cho các cầu và hạ tầng LNG được gắn nhãn là có ý nghĩa chiến lược—và các diễn đàn đã đề cập rõ ràng đến việc chuẩn bị các báo cáo cho lãnh đạo Triều Tiên.

Mô hình đe dọa lai này hoạt động trên nhiều lớp:

• Lớp 1 (Khai thác tài chính): các nhóm liên kết Nga thực hiện các hoạt động RaaS, đòi tiền chuộc hàng triệu đô la trong khi duy trì an ninh hoạt động qua các diễn đàn bằng tiếng Nga
• Lớp 2 (Tình báo địa chính trị): các tác nhân Triều Tiên thu thập dữ liệu nhạy cảm về kinh tế và quân sự, không có động cơ đòi tiền chuộc rõ ràng
• Lớp 3 (Chiến tranh thông tin): hacker tự giới thiệu là các chiến sĩ chống tham nhũng, sử dụng các câu chuyện tuyên truyền để biện minh cho các rò rỉ và đánh lạc hướng trách nhiệm

Tại sao là Hàn Quốc? Địa lý và chiến lược mục tiêu

Đến cuối năm 2024, Hàn Quốc đã trở thành quốc gia bị tấn công ransomware nhiều thứ hai trên toàn cầu, chỉ sau Hoa Kỳ. Xếp hạng này không phải ngẫu nhiên. Lĩnh vực tài chính của quốc gia—với các ngân hàng, nhà quản lý tài sản, và các nền tảng fintech liên quan đến tiền điện tử—được xem là mục tiêu tối ưu cho cả tội phạm tài chính lẫn các hoạt động tình báo do nhà nước bảo trợ.

Nhóm NCC Threat Intelligence xác định Qilin chịu trách nhiệm khoảng 29% các vụ ransomware toàn cầu trong tháng 10 năm 2024, với hơn 180 nạn nhân bị cáo buộc. Tuy nhiên, chiến dịch tại Hàn Quốc nổi bật vì mức độ tập trung: 24 trong số 33 vụ việc nhắm vào lĩnh vực tài chính, cho thấy đây là các mục tiêu có tính chất hướng đến tình báo hơn là quét dò ngẫu nhiên.

Việc xâm phạm chuỗi cung ứng của GJTec là trung tâm. Bằng cách truy cập qua một nhà cung cấp dịch vụ duy nhất quản lý hạ tầng cho hàng chục tổ chức tài chính Hàn Quốc, hacker đã nhân rộng tác động của mình theo cấp số nhân. Ransomware lây lan qua các thông tin xác thực đã được thiết lập và quyền truy cập quản trị—một yếu tố cho thấy các cuộc điều tra trước xâm nhập đã kéo dài nhiều tuần trước khi chiến dịch tháng 9 bắt đầu.

Mô hình kinh doanh RaaS: Tội phạm trở thành doanh nghiệp

Cấu trúc hoạt động của Qilin cho thấy sự trưởng thành của ransomware-as-a-service thành một nền kinh tế song song. Nhóm duy trì:

• Các chuyên gia đòi tiền chuộc nội bộ chuyên tạo ra các yêu cầu đòi tiền và tài liệu đàm phán tùy chỉnh
• Đội ngũ hỗ trợ kỹ thuật cung cấp trợ giúp triển khai malware và xử lý sự cố
• Tuyển dụng đối tác liên kết với các thỏa thuận chia sẻ lợi nhuận (thường là 20-30% số tiền chuộc thu được cho các operator thực địa)
• Quy trình an ninh hoạt động bao gồm các chính sách rõ ràng chống nhắm mục tiêu vào các thực thể thuộc Cộng đồng các quốc gia độc lập—cho thấy sự trung thành của Qilin với phạm vi Nga

Cấu trúc doanh nghiệp này khiến chiến dịch tại Hàn Quốc là sự phối hợp của nhiều đối tác thực hiện hoạt động dưới sự chỉ đạo chiến lược tập trung. Thành viên sáng lập “BianLian,” nổi tiếng với các hoạt động trên diễn đàn tiếng Nga, có khả năng phối hợp thời điểm và mục tiêu cùng các đối tác Triều Tiên.

Ảnh hưởng của việc trộm dữ liệu đối với thị trường tài chính và tiền điện tử

Dữ liệu 2TB không chỉ liên quan đến bí mật doanh nghiệp. Các tài liệu bị đánh cắp còn bao gồm:

• Sơ đồ hạ tầng ngân hàng và thông tin truy cập
• Thư từ nhà đầu tư tiết lộ cáo buộc thao túng cổ phiếu
• Thông tin tình báo kinh tế liên quan đến tham nhũng chính trị
• Các thủ tục vận hành cho các nền tảng quản lý tài sản phục vụ ngành công nghiệp crypto

Đối với hệ sinh thái tiền điện tử, việc lộ dữ liệu tạo ra các rủi ro dây chuyền. Các sàn giao dịch và nền tảng fintech dựa vào các mối quan hệ tài chính Hàn Quốc phải đối mặt với gián đoạn hoạt động. Dữ liệu bị rò rỉ về “thao túng cổ phiếu và mối liên hệ chính trị” còn đe dọa làm giảm lòng tin của thị trường vào các tổ chức Hàn Quốc—một kênh tấn công thứ cấp ngoài tổn thất tài chính trực tiếp.

Các yêu cầu phòng thủ: Xây dựng khả năng chống lại các mối đe dọa lai

Các khuyến nghị của Bitdefender để củng cố phòng thủ chống các hoạt động kiểu Qilin tập trung vào việc xử lý các điểm yếu trong chuỗi cung ứng:

Hành động ngay lập tức:

• Triển khai kiến trúc zero-trust cho tất cả các kết nối MSP
• Yêu cầu xác thực đa yếu tố cho tất cả các tài khoản quản trị
• Thực hiện kiểm tra ngay các nhật ký truy cập của nhà cung cấp dịch vụ bên ngoài

Củng cố trung hạn:

• Triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR) để nhận diện các mô hình di chuyển ngang phù hợp với các chiến thuật đã biết của Qilin
• Phân đoạn mạng để hạn chế xâm nhập và ngăn chặn sự lây lan giữa các thực thể tài chính
• Xây dựng các kịch bản phản ứng sự cố đặc thù cho các tình huống xâm phạm MSP

Khả năng phục hồi chiến lược:

• Kiểm tra các nhà cung cấp dịch vụ quản lý qua các cuộc kiểm tra an ninh và phân tích tình báo đe dọa lịch sử
• Thay đổi thông tin đăng nhập định kỳ hàng quý và thực thi nguyên tắc tối thiểu quyền truy cập cho các nhà cung cấp bên ngoài
• Theo dõi các diễn đàn RaaS và thị trường dark web để có cảnh báo sớm về mục tiêu tấn công

Chiến dịch tại Hàn Quốc cho thấy các biện pháp phòng thủ truyền thống về biên giới đã không còn đủ. Các hacker có thể chiếm giữ vị trí thông qua các nhà cung cấp dịch vụ đáng tin cậy, hoạt động trong phạm vi an ninh—đòi hỏi các biện pháp phát hiện và phản ứng nhanh hơn là chỉ phòng ngừa.

Yếu tố địa chính trị: Tội phạm mạng gặp gỡ chiến lược nhà nước

Chiến dịch Qilin tại Hàn Quốc là ví dụ về sự hội tụ các mối đe dọa mới nổi: các doanh nghiệp tội phạm chuyên nghiệp hợp tác với các dịch vụ tình báo do nhà nước bảo trợ. Đối với Triều Tiên, hoạt động này cung cấp:

• Thông tin tình báo kinh tế về hệ thống tài chính và hạ tầng công nghệ của Hàn Quốc
• Khả năng kỹ thuật mượn từ hạ tầng RaaS của Nga (phát triển malware, kỹ năng an ninh hoạt động)
• Dấu vết phủ nhận hợp pháp qua việc gán cho Nga trong khi lợi ích chiến lược thực sự thuộc về Bình Nhưỡng

Mô hình này—các tác nhân nhà nước tận dụng hạ tầng tội phạm để thực hiện gián điệp—gây khó khăn trong việc xác định nguồn gốc và làm phức tạp các phản ứng phòng thủ. Các lệnh trừng phạt truyền thống nhắm vào các nhóm ransomware “Nga” trở nên vô hiệu khi thực tế người hưởng lợi là các bên có lợi ích chiến lược.

Hệ quả đối với toàn bộ hệ sinh thái tài chính

Phân tích của Bitdefender kết luận rằng trải nghiệm của Hàn Quốc dự báo các điểm yếu hệ thống trong tất cả các trung tâm tài chính. Vector xâm phạm chuỗi cung ứng cũng áp dụng cho các tổ chức tài chính Mỹ, châu Âu và châu Á. Việc hợp nhất các tài sản crypto trong hạ tầng ngân hàng truyền thống có nghĩa là ransomware ảnh hưởng đến các nhà quản lý tài sản kỹ thuật số cũng là mối đe dọa trực tiếp.

Chiến dịch Qilin đã thu về hơn 2TB dữ liệu chiến lược—một khối lượng cho thấy các hacker đã thực hiện nhiều tháng chuẩn bị trước khi tấn công tháng 9, lập bản đồ kiến trúc mạng và xác định các mục tiêu giá trị cao trước khi hành động. Sự chính xác này mâu thuẫn với các câu chuyện mô tả ransomware như các cuộc tấn công ngẫu nhiên, opportunistic. Chiến dịch Hàn Quốc phản ánh sự lập kế hoạch tinh vi của các tác nhân đe dọa trưởng thành.

Kết luận: Mô hình hoạt động đe dọa mới

Sự gia tăng ransomware Qilin tại Hàn Quốc—với 25 vụ trong tháng 9—đại diện cho sự trưởng thành về mặt hoạt động của các mối đe dọa lai pha trộn lợi nhuận tội phạm với mục tiêu gián điệp do nhà nước bảo trợ. Các tác nhân Nga cung cấp hạ tầng công nghệ qua mô hình RaaS, trong khi các đối tác Triều Tiên thu thập thông tin tình báo có ứng dụng quân sự. Vector xâm phạm chuỗi cung ứng đã phơi bày những điểm yếu căn bản trong cách các tổ chức tài chính quản lý quyền truy cập nhà cung cấp dịch vụ bên ngoài.

Đối với các bên liên quan trong lĩnh vực ngân hàng, fintech và crypto, sự kiện tại Hàn Quốc là lời cảnh báo chiến lược: các phương thức bảo vệ truyền thống dựa trên biên giới đã không còn đủ. Cần đầu tư vào kiến trúc zero-trust, khả năng phát hiện nhanh và lập kế hoạch phản ứng sự cố đặc thù cho các tình huống xâm phạm chuỗi cung ứng.

Việc đánh cắp 2TB dữ liệu còn đặt ra các rủi ro liên tục, không chỉ đối với từng tổ chức mà còn đối với niềm tin của thị trường vào hạ tầng tài chính Hàn Quốc. Khi các hoạt động ransomware tiếp tục tiến tới mô hình lai giữa tội phạm và nhà nước, khả năng phòng thủ cần thích ứng phù hợp. Câu hỏi không còn là liệu các xâm phạm chuỗi cung ứng có xảy ra hay không, mà là tổ chức có thể phát hiện và kiểm soát chúng trước khi dữ liệu chiến lược rời khỏi mạng hay không.