Tại sao một trò chơi điện tử bình thường lại trở thành vũ khí gián điệp tối mật? Nhóm hacker ScarCruft liên kết với Triều Tiên vừa thực hiện một cuộc tấn công supply chain (tấn công chuỗi cung ứng) cực kỳ tinh vi, biến nền tảng game thành phương tiện phát tán malware BirdCall nhắm vào người Hàn Quốc sinh sống tại Trung Quốc. Điều đáng báo động nhất là lần đầu tiên trong lịch sử hoạt động, mã độc này không chỉ tấn công Windows mà còn mở rộng sang Android. Cuộc tấn công này đánh dấu một bước ngoặt nguy hiểm trong chiến lược cyber warfare của Bình Nhưỡng.

Khi nền tảng game trở thành cổng địa ngục

Tấn công supply chain là phương thức mà hacker xâm nhập vào một sản phẩm hoặc dịch vụ hợp pháp, sau đó sử dụng nó như "ngựa thành Troy" để phát tán mã độc. Trong trường hợp này, ScarCruft đã thành công chiếm quyền điều khiển một nền tảng game video, biến các thành phần của nó thành kênh phân phối malware. Chúng tôi cho rằng đây là một trong những cuộc tấn công supply chain nguy hiểm nhất từ trước đến nay vì nó khai thác niềm tin của người dùng vào một sản phẩm giải trí tưởng chừng vô hại.

BirdCall - tên gọi của backdoor (cửa hậu) được sử dụng trong chiến dịch này - là một mã độc có khả năng tạo kết nối ngầm với máy chủ của hacker, cho phép chúng điều khiển từ xa thiết bị nạn nhân mà không bị phát hiện. Trước đây, BirdCall chủ yếu tấn công người dùng Windows. Việc mở rộng sang Android cho thấy tham vọng lớn hơn của ScarCruft trong việc thu thập thông tin từ mọi thiết bị di động.

Mục tiêu chính xác như phẫu thuật laser

ScarCruft không tấn công bừa bãi mà có mục tiêu cực kỳ cụ thể: cộng đồng người Hàn Quốc sinh sống tại Trung Quốc. Đây là chiến lược spear-phishing (tấn công có mục tiêu) điển hình, khi hacker tập trung vào một nhóm đối tượng nhỏ nhưng có giá trị thông tin cao. Cộng đồng này thường có mối liên hệ với cả hai quốc gia, làm việc trong các lĩnh vực nhạy cảm như công nghệ, thương mại, và có thể tiếp cận thông tin quan trọng về cả Hàn Quốc lẫn Trung Quốc.

Việc chọn nền tảng game làm phương tiện tấn công không phải ngẫu nhiên. Game là một trong những hình thức giải trí phổ biến nhất trong cộng đồng người Hàn tại Trung Quốc, đặc biệt là các tựa game mobile. Khi người dùng tải và cài đặt game từ nền tảng đã bị nhiễm độc, họ vô tình cài đặt cả BirdCall vào thiết bị của mình.

Bước tiến nguy hiểm của cyber warfare Triều Tiên

ScarCruft là một trong những nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao) hoạt động mạnh nhất của Triều Tiên, bên cạnh Lazarus và Kimsuky. Họ chuyên thực hiện các chiến dịch gián điệp mạng nhắm vào Hàn Quốc và các quốc gia láng giềng. Cuộc tấn công này cho thấy khả năng thích ứng đáng sợ của nhóm khi chuyển từ tấn công trực tiếp sang khai thác chuỗi cung ứng - phương thức khó phát hiện và ngăn chặn hơn nhiều.

Theo thống kê của các cơ quan an ninh mạng quốc tế, tấn công supply chain đã tăng 300% trong hai năm qua. Việt Nam cũng ghi nhận nhiều trường hợp tương tự khi hacker cài mã độc vào phần mềm download từ các trang web không chính thức. Sự kiện ScarCruft này đặt ra cảnh báo đỏ cho toàn bộ ngành công nghiệp game và ứng dụng mobile trên toàn thế giới.

Làm sao để không trở thành nạn nhân?

Người dùng Việt Nam cần thực hiện ngay các bước bảo vệ sau: Thứ nhất, chỉ tải game và ứng dụng từ các cửa hàng chính thức như Google Play Store, Apple App Store, hoặc trang web chính thức của nhà phát triển. Thứ hai, bật tính năng "Play Protect" trên Android và "Gatekeeper" trên iOS để quét tự động mã độc. Thứ ba, cập nhật thường xuyên hệ điều hành và ứng dụng để vá các lỗ hổng bảo mật mới nhất.

Chúng tôi khuyến nghị doanh nghiệp Việt Nam trong lĩnh vực game và ứng dụng cần tăng cường bảo mật hạ tầng, thực hiện kiểm tra bảo mật định kỳ và xây dựng kế hoạch ứng phó sự cố an ninh mạng. Đặc biệt, các công ty có quan hệ đối tác với Trung Quốc và Hàn Quốc cần đặc biệt cảnh giác với các cuộc tấn công có mục tiêu từ các nhóm APT Triều Tiên.