Các tổ chức tấn công mạng của Triều Tiên đang có những bước tiến mới. Nếu như trước đây, các cuộc tấn công mạng của Triều Tiên chỉ dừng lại ở việc đánh cắp thông tin hay tấn công tài sản ảo, thì giờ đây, chúng đã chuyển sang giai đoạn sử dụng AI để nhắm mục tiêu chính xác vào hệ thống chứng thực của chính phủ và các hệ thống nội bộ. Điều này có nghĩa là mối đe dọa đối với an ninh quốc gia và toàn bộ hệ thống hành chính đang trở thành hiện thực.
Công ty bảo mật toàn cầu Kaspersky đã công bố các chiến thuật tấn công mới nhất của tổ chức tấn công mạng 'Kimsuky' của Triều Tiên vào ngày 14 tháng 5. Theo báo cáo, tổ chức này đang sử dụng AI để tạo ra mã độc, và đã xác nhận rằng mã độc này bao gồm chức năng nhắm vào thư mục lưu trữ của hệ thống chứng thực điện tử GPKI của chính phủ Hàn Quốc. Việc đánh cắp tài khoản công chức và khả năng xâm nhập vào mạng nội bộ của chính phủ đã được ghi nhận.
Một vấn đề nghiêm trọng hơn là sự thay đổi trong phương thức tấn công. Các tổ chức tấn công mạng của Triều Tiên hiện đang lợi dụng tính năng đường hầm từ xa của Visual Studio Code (VSCode) và các công cụ quản lý từ xa để ngụy trang như một giao tiếp bình thường của máy chủ Microsoft. Đây là chiến lược nhằm vượt qua sự phát hiện của các giải pháp bảo mật hiện có. Điều này cho thấy họ đã tiến hóa từ các cuộc tấn công lừa đảo đơn giản hay tấn công qua email sang cách thức ẩn mình trong môi trường làm việc bình thường.
AI vốn dĩ là công nghệ nhằm đổi mới công nghiệp và nâng cao năng suất. Tuy nhiên, đồng thời nó cũng là công cụ làm giảm đáng kể rào cản gia nhập của kẻ tấn công. Nhóm tình báo mối đe dọa của Google (GTIG) cũng đã cảnh báo trong một báo cáo gần đây rằng các tổ chức tấn công mạng liên kết với Triều Tiên và Trung Quốc đang sử dụng AI để phát hiện lỗ hổng zero-day và tự động hóa các cuộc tấn công. Đặc biệt, tổ chức APT45 của Triều Tiên đã được ghi nhận là đã lặp đi lặp lại hàng nghìn lần các prompt vào mô hình AI để tự động xác minh mã tấn công và phân tích lỗ hổng.
Trước đây, những công việc mà một hacker có kinh nghiệm phải mất nhiều thời gian để thực hiện giờ đây đã có thể được AI thực hiện trong thời gian ngắn. Việc tạo ra mã độc, phân tích lỗ hổng, soạn thảo nội dung lừa đảo, và khám phá mạng nội bộ đều có thể được tự động hóa. Chi phí tấn công giảm và khả năng thành công tăng lên. Đối với các tổ chức tấn công mạng của Triều Tiên được nhà nước hỗ trợ, điều này thực sự là một sự 'tăng cường vũ khí mạng'.
Vấn đề là hệ thống phản ứng của chúng ta không theo kịp tốc độ thay đổi này. Vẫn còn nhiều cơ quan công cộng phụ thuộc vào hệ thống bảo mật dựa trên chứng thực và mạng kín. Có những ý kiến cho rằng nếu một lần xâm nhập vào mạng nội bộ xảy ra, thì các biện pháp ngăn chặn sự lây lan trong nội bộ là không đủ. Đặc biệt, các tổ chức chính quyền địa phương và các cơ quan công cộng, doanh nghiệp nhà nước thường có mức đầu tư bảo mật thấp hơn nhiều so với các bộ trung ương.
Điều đáng lo ngại hơn là các cuộc tấn công dựa trên AI có thể dẫn đến việc làm gián đoạn chức năng của nhà nước, không chỉ đơn thuần là rò rỉ thông tin. Trong cấu trúc quốc gia số mà mạng hành chính, quốc phòng, và hạ tầng năng lượng, giao thông, tài chính được kết nối đồng thời, các cuộc tấn công mạng không còn chỉ là 'tội phạm trực tuyến'. Chúng thực sự là một phần mở rộng của chiến tranh và mối đe dọa an ninh.
Triều Tiên đã được đánh giá là một trong những quốc gia có sức mạnh tấn công mạng hàng đầu thế giới. Dù bị cấm vận từ cộng đồng quốc tế, họ vẫn kiếm tiền thông qua các tổ chức tấn công mạng và thực hiện chiến tranh thông tin. Khi kết hợp với AI, khả năng tấn công có thể gia tăng đến mức khó có thể so sánh với trước đây. Gần đây, đã có những trường hợp ghi nhận việc kết hợp giữa việc giả mạo việc làm và AI tạo sinh để xâm nhập vào mạng nội bộ của các công ty nước ngoài.
Giờ đây, phản ứng của chính phủ cũng cần phải thay đổi một cách căn bản. Thứ nhất, cần có một cuộc rà soát khẩn cấp toàn bộ hệ thống chứng thực của khu vực công. Hệ thống chỉ dừng lại ở việc lưu trữ chứng thực đơn giản sẽ không thể ngăn chặn các cuộc tấn công dựa trên AI. Thứ hai, cần nhanh chóng triển khai hệ thống bảo mật dựa trên AI. Nếu kẻ tấn công sử dụng AI mà hệ thống phòng thủ vẫn chỉ dựa vào con người thì sẽ không có cơ hội thắng lợi. Thứ ba, cần tăng cường chia sẻ thông tin về mối đe dọa mạng giữa khu vực tư nhân và các cơ quan quân sự, tình báo ở mức độ thời gian thực.
An ninh mạng không còn chỉ là vấn đề của bộ phận CNTT. Đây là vấn đề sống còn của toàn bộ hệ thống vận hành quốc gia. Việc các tổ chức tấn công mạng của Triều Tiên sử dụng AI không chỉ là sự thay đổi công nghệ mà còn cho thấy môi trường an ninh quốc gia đang thay đổi. Nếu chậm trễ, cái giá phải trả sẽ càng lớn hơn.
* Bài viết này được dịch tự động bằng AI.
© Bản quyền thuộc về Thời báo Kinh tế AJU & www.ajunews.com: Việc sử dụng các nội dung đăng tải trên vietnam. kyungjeilbo.com phải có sự đồng ý bằng văn bản của Aju News Corporation.