Tin tặc Triều Tiên dùng AI để viết mã độc và lừa đảo, kiếm được 12 triệu USD

Sự xuất hiện của các công cụ hack dùng AI đã gây ra những lo ngại về một tương lai gần nơi bất kỳ ai cũng có thể sử dụng các công cụ tự động để tìm ra lỗ hổng phần mềm. Tuy nhiên, ở thời điểm hiện tại, AI đang đóng một vai trò thực tế hơn trong bộ công cụ của tin tặc: nó giúp những kẻ tấn công tầm thường nâng cao trình độ và thực hiện các chiến dịch mã độc rộng lớn, hiệu quả.

Điển hình là một nhóm tin tặc Triều Tiên kỹ năng thấp đã bị phát hiện là đã sử dụng AI để thực hiện hầu hết mọi khâu trong một chiến dịch tấn công nhằm đánh cắp tiền điện tử từ hàng nghìn nạn nhân.

Vào thứ Tư vừa qua, công ty an ninh mạng Expel đã tiết lộ một hoạt động tội phạm mạng được nhà nước Triều Tiên bảo trợ, cài đặt mã độc đánh cắp thông tin đăng nhập trên hơn 2.000 máy tính. Mục tiêu cụ thể của nhóm này là các máy tính của các nhà phát triển đang làm việc trên các dự án tiền điện tử quy mô nhỏ, tạo NFT và Web3. Bằng cách sử dụng các công cụ AI của các công ty Mỹ bao gồm OpenAI, Cursor và Anima, nhóm tin tặc này — mà Expel đặt tên là HexagonalRodent — đã "viết mã" gần như mọi phần của chiến dịch xâm nhập, từ việc viết mã độc đến xây dựng các trang web giả mạo cho các công ty dùng trong kế hoạch lừa đảo (phishing). Nhờ sự hỗ trợ của AI, nhóm này đã đánh cắp được tối đa 12 triệu USD tiền điện tử từ nạn nhân trong vòng ba tháng.

AI giúp kẻ thiếu kỹ năng trở thành mối đe dọa

Điều đáng chú ý nhất trong chiến dịch của HexagonalRodent không phải là sự tinh vi, mà là cách các công cụ AI cho phép một nhóm rõ ràng thiếu kỹ năng thực hiện các vụ trộm cắp có lợi nhuận phục vụ cho nhà nước Triều Tiên.

Marcus Hutchins, nhà nghiên cứu bảo mật đã phát hiện ra nhóm này, cho biết: "Những kẻ điều hành này không có kỹ năng viết mã. Họ không có kỹ năng thiết lập cơ sở hạ tầng. AI thực sự đang cho phép họ làm những việc mà nếu không có nó, họ hoàn toàn không thể làm được." Hutchins nổi tiếng trong cộng đồng an ninh mạng sau khi vô hiệu hóa phần mềm tống tiền WannaCry do tin tặc Triều Tiên tạo ra.

Chiến dịch của HexagonalRodent tập trung vào việc lừa các nhà phát triển tiền điện tử bằng các lời mời làm việc giả tại các công ty công nghệ. Chúng thậm chí còn tạo ra các trang web hoàn chỉnh cho các công ty giả mạo này, thường được xây dựng bằng các công cụ thiết kế web AI. Cuối cùng, nạn nhân được yêu cầu tải xuống và hoàn thành một bài kiểm tra lập trình — mà tin tặc đã cài mã độc vào bài kiểm tra này để xâm nhập máy tính và đánh cắp thông tin đăng nhập, bao gồm cả khóa truy cập ví tiền điện tử.

Dấu hiệu của mã do AI tạo ra

Mặc dù các phần của chiến dịch tấn công này dường như được trau chuốt kỹ lưỡng và hiệu quả, nhưng các tin tặc cũng đã để lộ sự vụng về của mình. Họ đã để lộ một phần cơ sở hạ tầng không được bảo vệ, làm rò rỉ các câu lệnh (prompts) mà họ đã sử dụng để viết mã độc bằng các công cụ như ChatGPT của OpenAI và Cursor. Họ còn để lộ một cơ sở dữ liệu theo dõi ví của nạn nhân, cho phép Expel ước tính tổng số tiền điện tử mà tin tặc có thể đã đánh cắp.

Hutchins cũng đã phân tích các mẫu mã độc của tin tặc và tìm thấy bằng chứng cho thấy nó phần lớn — có thể là hoàn toàn — được tạo ra bởi AI. Mã độc được chú thích kỹ lưỡng bằng tiếng Anh xuyên suốt — một thói quen lập trình điển hình của AI chứ không phải của tin tặc Triều Tiên. Đặc biệt, mã của chúng còn lộn xộn với các biểu tượng cảm xúc (emoji). Hutchins chỉ ra rằng điều này có thể là manh mối cho thấy phần mềm được viết bởi mô hình ngôn ngữ lớn (LLM), vì các lập trình viên sử dụng bàn phím PC hiếm khi mất thời gian chèn emoji vào mã nguồn.

"Đó là một dấu hiệu khá rõ ràng của mã do AI viết," Hutchins nhận định.

Triều Tiên và đòn bẩy AI

Hutchins lập luận rằng chiến dịch HexagonalRodent cho thấy AI có thể là một công cụ đặc biệt hữu ích cho Triều Tiên. Quốc gia này có thể dễ dàng tuyển dụng những lao động IT thiếu kỹ năng để gia nhập hàng ngũ tin tặc — hoặc phổ biến hơn là thâm nhập vào các công ty công nghệ dưới danh nghĩa công dân các nước khác — nhưng số lượng hacker có năng lực lại khá hạn chế do người dân Triều Tiên thiếu quyền truy cập vào Internet hoặc máy tính.

"Họ có hàng trăm người được gửi sang biên giới để làm việc trong các hoạt động IT, nhưng chỉ có một số ít thực sự biết mình đang làm gì," Hutchins nói. "Nhưng sau đó họ có thể sử dụng AI tạo sinh để có lợi thế và thực hiện các chiến dịch tấn công mạng khá thành công."

Thay vì giảm số lượng người tham gia thông qua tự động hóa, Hutchins cho biết ông đã quan sát thấy các hoạt động của Triều Tiên tăng quy mô theo thời gian. Expel ước tính có tới 31 tin tặc riêng lẻ tham gia vào HexagonalRodent. "Họ cứ liên tục thêm nhiều kẻ điều hành hơn," Hutchins nói. "Bởi vì họ chỉ cần cung cấp cho họ quyền truy cập vào một mô hình AI, và giờ đây họ có thể làm những việc mà trước đây họ cần một đội ngũ phát triển để hỗ trợ."

Phản ứng của ngành công nghệ AI

Cả OpenAI và Anthropic cũng đã phát hiện các tin tặc Triều Tiên đang sử dụng nền tảng của họ trong 12 tháng qua. Vào tháng 2 năm ngoái, OpenAI cho biết họ đã cấm các tài khoản nghi ngờ thuộc về Triều Tiên được phát hiện sử dụng ChatGPT ở nhiều giai đoạn của các kế hoạch lao động IT gian lận.

Trong khi đó, Anthropic cho biết trong báo cáo tình báo đe dọa tháng 8 của mình rằng họ đã thấy những lao động IT Triều Tiên "dường như không thể thực hiện các nhiệm vụ kỹ thuật cơ bản hoặc giao tiếp chuyên nghiệp nếu không có sự hỗ trợ của AI". Công ty cũng cho biết họ đã phát hiện tin tặc Triều Tiên có ý định sử dụng Claude để "nâng cấp" một số chủng mã độc giống như Expel tìm thấy.

Cursor nói với WIRED rằng họ đã chặn tin tặc HexagonalRodent sử dụng công cụ của mình và đang điều tra thêm. Anima, một trong các công ty thiết kế web AI có công cụ bị sử dụng trong chiến dịch, cho biết họ đang làm việc với Expel để xác định và chặn tin tặc.

Hutchins lập luận rằng việc sử dụng AI thực tế để hỗ trợ các hoạt động tấn công mạng mới là điều mà ngành an ninh mạng cần tập trung, thay vì lo lắng về một AI tìm lỗ hổng siêu việt trong tương lai.

"Chúng ta nghĩ rằng mình cần xây dựng các hệ thống phòng thủ cho một Skynet giả tưởng sẽ xuyên thủng tất cả các mạng lưới của chúng ta," Hutchins nói. "Trong khi đó, bạn có một mối đe dọa từ quốc gia có khả năng triển khai các hoạt động bằng AI mà không cần làm gì mới mẻ. Có hoạt động đe dọa thực sự đang diễn ra như một kết quả của AI. Nhưng đó không phải là những thứ mà mọi người đang lãng phí hơi thở để bàn luận."