Tóm tắt một cách ngắn gọn, trước kia, điệp vụ và hacker Triều Tiên đã có những cuộc tấn công táo bạo, hoặc ăn cắp tiền mã hóa, hoặc tấn công ngân hàng, hoặc tấn công máy chủ các tổ chức và đơn vị để tống tiền. Nhưng khi COVID-19 bùng phát toàn cầu, nhu cầu làm việc ở nhà và làm việc từ xa trở nên phổ biến, thì Triều Tiên cũng tìm ra được một cách để kiếm nguồn ngoại tệ bất hợp pháp một cách im lặng hơn: Tạo ra một đội quân hàng nghìn người đóng giả những chuyên gia IT để xin việc tại các doanh nghiệp và tập đoàn ở các quốc gia phương Tây.

Bài viết mở đầu bằng một khám phá đáng kinh ngạc của Simon Wijckmans, nhà sáng lập công ty bảo mật web C.Side ở London, khi anh tuyển dụng nhân viên từ xa. Ban đầu, mọi thứ có vẻ hoàn hảo: các ứng viên có hồ sơ ấn tượng, có cả họ và tên tiếng phương Tây, và vượt qua bài kiểm tra lập trình ban đầu. Tuy nhiên, Wijckmans bắt đầu nhận thấy những điểm bất thường.



Các ứng viên này đều là nam giới trẻ tuổi, gốc châu Á với giọng nói mang chất giọng không phải người Mỹ, sử dụng hình nền văn phòng chung chung làm nền khi video call, kết nối internet chập chờn, và tập trung quá mức vào vấn đề lương thưởng, ít quan tâm đến công việc thực tế, những gì công ty làm, hoặc các phúc lợi khác. Điều đáng chú ý hơn là nhiều ứng viên có vẻ như đang nhận được sự trợ giúp từ bên ngoài trong quá trình phỏng vấn, một số bị Wijckmans bắt quả tang giao diện máy tính phản chiếu trên mắt kính khi họ sử dụng nhiều màn hình, và trong đó là cả ChatGPT để trả lời các bài kiểm tra về khả năng lập trình.

Sau khi điều tra sâu hơn, Wijckmans phát hiện ra rằng công ty của anh đang phải đối mặt với một lượng lớn ứng viên tương tự, vượt xa mức đơn ứng tuyển bình thường. Nhiều người đã sử dụng VPN để che giấu địa chỉ IP cũng như vị trí thực tế của họ. Điều này dẫn đến một sự thật đáng kinh ngạc: Wijckmans đã vô tình khám phá ra một mạng lưới tội phạm mạng toàn cầu quy mô lớn, nhằm mục đích tạo ra nguồn ngoại tệ bất hợp pháp cho Triều Tiên.



Để hiểu rõ hơn về hoạt động này, phần thứ hai của bài viết giới thiệu Christina Chapman, một người phụ nữ 44 tuổi sống ở Minnesota, sau đó chuyển đến Arizona. Năm 2020, Chapman nhận được lời đề nghị từ một công ty tuyển dụng người làm việc từ xa với vai trò "gương mặt đại diện" tại Mỹ. Công việc của cô là tìm kiếm và sắp xếp nhân viên nước ngoài vào các vị trí làm việc từ xa cho các công ty phương Tây.

Chapman nhanh chóng kiếm được nhiều tiền, đủ để chuyển sang một ngôi nhà mới rộng rãi hơn. Đại diện thuê cô làm “chi nhánh Mỹ” hứa trả khoản tiền lên tới 30% tổng con số ghi trên những tấm séc mà các công ty gửi về nhà cô. Chúng là những tấm séc trả lương từ các công ty, gửi cho những “nhân viên IT” nọ.

Cô thường xuyên chia sẻ cuộc sống của mình trên TikTok và YouTube, trong đó có những video hé lộ về sự bận rộn công việc của cô, với hình ảnh một "trang trại laptop" chứa hàng chục máy tính mở, phủ đầy ghi chú dính trên màn hình.

Cô ấy giúp họ tạo hồ sơ giả, hoàn thành các thủ tục giấy tờ cần thiết, chẳng hạn như mẫu I-9 chứng nhận khả năng làm việc hợp pháp tại Mỹ, và thậm chí còn tham gia các cuộc họp trực tuyến thay mặt cho những người này. Các tin nhắn giữa Chapman và "người điều hành" của cô cho thấy mức độ đồng lõa, liên quan và tiếp tay rất sâu của cô trong hoạt động lừa đảo, bao gồm cả việc giúp họ giải quyết các vấn đề kỹ thuật đơn giản và che đậy danh tính khi tham gia các cuộc họp trực tuyến.

Kết cục, Chapman bị bắt giữ và bị buộc tội hỗ trợ các hoạt động tạo ra doanh thu bất hợp pháp cho Triều Tiên.

Khi cảnh sát đột kích nhà Chapman, họ phát hiện một "trang trại laptop" với hàng chục máy tính xách tay, mỗi chiếc được dán nhãn với tên giả và thông tin người sử dụng lao động của nhân viên IT đến từ Triều Tiên. Các nạn nhân của đường dây này bao gồm nhiều công ty lớn ở Mỹ, từ các đài truyền hình quốc gia đến các tập đoàn công nghệ Silicon Valley, nhà sản xuất vũ khí phòng thủ, hãng xe hơi nổi tiếng và một trong những công ty giải trí hàng đầu thế giới. Ước tính số tiền đã được gửi về Triều Tiên ít nhất là 17 triệu USD.

Vụ án của Chapman chỉ là một phần nhỏ trong một bức tranh lớn hơn về hoạt động tội phạm mạng do Triều Tiên điều hành. Các nhà điều tra đã xác định được nhiều người đồng lõa khác nhau, bao gồm Oleksandr Didenko (bị bắt ở Ba Lan và dẫn độ sang Mỹ), Matthew Knoot (đang chờ xét xử tại Tennessee) và một nhóm các công dân Hoa Kỳ và Mexico bị cáo buộc điều hành các công ty nhân sự giả mạo. Những người này đóng vai trò quan trọng trong việc kết nối nhân viên IT Triều Tiên với các công ty Mỹ, tạo ra một mạng lưới phức tạp để che giấu hoạt động bất hợp pháp.

Theo bài viết, trong khoảng một thập kỷ qua, Triều Tiên đã huấn luyện các chuyên gia IT trẻ tuổi và cử họ đến các quốc gia như Trung Quốc và Nga để thực hiện kế hoạch này. Họ tìm kiếm các công việc lập trình từ xa ở phương Tây, ưu tiên những vị trí có mức lương cao, quyền truy cập vào dữ liệu và hệ thống, đồng thời chỉ phải chịu ít trách nhiệm trong quá trình kinh doanh của các doanh nghiệp.

Để che giấu danh tính thật của họ, các ứng viên thường sử dụng thông tin đánh cắp hoặc giả mạo, và sử dụng AI để vượt qua các bài kiểm tra kỹ thuật, phỏng vấn video và kiểm tra lý lịch. Tuy nhiên, một thách thức lớn là việc các nhân viên ảo này không thể sử dụng địa chỉ hoặc tài khoản ngân hàng liên kết với danh tính giả của họ, cũng như không thể truy cập vào mạng lưới công ty từ nước ngoài mà không bị nghi ngờ.



Âm mưu này không phải là một hiện tượng mới. Nó bắt nguồn từ những nỗ lực của nhà lãnh đạo Triều Tiên Kim Jong-un để phát triển năng lực công nghệ thông tin của đất nước, đặc biệt sau khi ông lên nắm quyền vào năm 2011.

Được đào tạo ở Thụy Sỹ, và có những nguồn tin nói nhà lãnh đạo này từng là một gamer, Kim Jong-un đã ưu tiên giáo dục máy tính và an ninh thông tin trong hệ thống giáo dục, tuyển chọn những sinh viên xuất sắc nhất vào các trường đại học hàng đầu để đào tạo thành các chuyên gia IT có kỹ năng. Những người này sau đó được tuyển dụng vào các cơ quan chính phủ và được hứa hẹn sẽ có quyền truy cập không giới hạn vào internet, một đặc ân hiếm hoi ở Triều Tiên.



Ban đầu, các cuộc tấn công mạng của Triều Tiên khá thô sơ, bao gồm việc phá hoại trang web và từ chối dịch vụ. Tuy nhiên, theo thời gian, chúng ngày càng trở nên táo bạo hơn, như vụ tấn công Sony Pictures năm 2014, và vụ đánh cắp tiền từ Ngân hàng Bangladesh vào năm 2016. Gần đây, Triều Tiên đã chuyển trọng tâm sang tội phạm tài chính, đặc biệt là trộm cắp tiền điện tử, với những vụ việc như cuộc tấn công tựa game blockchain Axie Infinity, đánh cắp hơn 600 triệu USD, hay sự cố Bybit bị tấn công, đánh cắp gần 1.5 tỷ USD.

Đây là lúc những người như Christina Chapman đóng vai trò quan trọng. Trường hợp của cô này hoàn toàn không phải cá biệt, mà có lẽ có hàng trăm người như vậy đang sinh sống ở Mỹ. Họ hoạt động như “người tạo điều kiện”, hay là đồng phạm, ký các giấy tờ giả mạo, quản lý lương cho nhân viên ảo và nhận một phần hoa hồng, như đã nói, là khoảng 30% tổng số tiền chuyển ra nước ngoài. Họ cũng chịu trách nhiệm nhận máy tính công ty từ các ứng viên, thường lấy lý do di chuyển hoặc chăm sóc người thân, và thiết lập “trang trại laptop”, nơi các nhân viên ảo có thể truy cập vào máy tính của họ từ xa, tạo cảm giác như đang làm việc tại Mỹ.

Về phần những người lao động IT Triều Tiên tham gia vào đường dây này, họ luôn phải đối mặt với những điều kiện sống khắc nghiệt. Dù có được sống ở nước ngoài, thì họ cũng luôn phải làm việc trong các căn hộ chật hẹp, nhiều người ở chung một phòng, và phải đáp ứng các chỉ tiêu về thu nhập bất hợp pháp. Các hoạt động của họ đều bị kiểm soát chặt chẽ, và gia đình của họ gần như bị theo dõi và bị giữ làm con tin để ngăn chặn thành viên nhóm nhân viên IT giả mạo đào tẩu.



Thậm chí cũng đã có những lao động IT bất hợp pháp của Triều Tiên được đưa sang sinh sống ở tận Washington DC. Dẫn lời một người đào tẩu thành công, Hyun-Seung Lee: “Không bao giờ bạn được tự do. Bạn không được phép rời khỏi căn hộ trừ phi cần mua thứ gì đó, chẳng hạn mua đồ tạp hóa, và nhóm trưởng sẽ sắp xếp. Luôn luôn phải có 2 hoặc 3 người cùng đi, để không ai có cơ hội tìm đường và khám phá xung quanh.”

Chính phủ Mỹ ước tính, mỗi nhóm như thế này có thể kiếm được 3 triệu USD. Dù chỉ là con số như tiền lẻ nếu so sánh với hàng tỷ USD mà hacker Triều Tiên tấn công máy chủ để ăn cắp tiền mã hóa hoặc tống tiền doanh nghiệp, nhưng những mạng lưới như thế này ít thu hút sự chú ý của báo giới và các nhà chức trách hơn nhiều.

Một câu chuyện cụ thể khác thì kể về một kỹ sư website được một công ty lớn thuê làm việc từ xa vào năm 2022. Giám đốc chi nhánh thậm chí còn khẳng định đây là thành viên chăm chỉ và năng suất cao nhất nhóm. Sau khi vô tình quên ngày sinh nhật viết trong hồ sơ nhân sự của mình trong một buổi lễ trực tuyến, anh ta bị phát hiện đang sử dụng các công cụ truy cập từ xa trên máy tính công ty và sau đó bị sa thải. Sau đó, công ty mới nhận ra rằng họ đã thuê một điệp viên nước ngoài thông qua mạng lưới giả mạo này.



Các chuyên gia cảnh báo rằng chỉ một phút truy cập vào hệ thống của công ty cũng có thể gây ra những rủi ro không giới hạn. Tình trạng này đang lan rộng không chỉ ở Mỹ mà còn ở các nước như Đức, Pháp, Anh và Nhật Bản. Có những người “nằm im” 10, 12 hay thậm chí 18 tháng, nhưng cũng có khi chỉ cần vài ngày, tiếp cận được máy chủ cài đặt mã độc, họ sẽ bỏ việc bất chợt và biến mất hoàn toàn.

Các biện pháp kiểm tra thông thường như liên hệ với người tham khảo, kiểm tra địa chỉ cư trú, sử dụng công cụ sàng lọc trực tuyến và phỏng vấn trực tiếp đều không phải lúc nào cũng hiệu quả do sự tiến bộ của trí tuệ nhân tạo. ChatGPT và các công cụ tương tự cho phép bất kỳ ai trả lời các câu hỏi phức tạp với sự tự tin giả tạo, còn khả năng lập trình của AI đang khiến các bài kiểm tra kỹ thuật trở nên lỗi thời. Các bộ lọc video và deepfake cũng được sử dụng để che giấu danh tính thật.

Rồi những “nhân viên IT” từ Triều Tiên cũng ngày càng tinh vi trong việc đánh lừa hệ thống bảo mật và các biện pháp an ninh của các nhà tuyển dụng. Ví dụ, nếu như các nhà tuyển dụng yêu cầu giơ căn cước lên trước webcam, thì họ sử dụng thẻ màu xanh lá cây có kích thước giống như giấy tờ tùy thân và công nghệ deepfake để tạo ra hình ảnh ID giả mạo chèn vào tấm thẻ như phông xanh quay phim ấy. Họ thậm chí còn cử người đóng thế đến nhận giấy tờ tùy thân hoặc làm xét nghiệm ma túy thay cho ứng viên thực sự.

Nhưng không phải lúc nào những “nhân viên IT” từ Triều Tiên cũng thành công.

Simon Wijckmans đã thực hiện các biện pháp đối phó để phát hiện những ứng viên giả mạo. Anh tổ chức các cuộc phỏng vấn vào giờ giấc bất thường (3 giờ sáng theo giờ Thái Bình Dương) và tiến hành kiểm tra kỹ lưỡng. Trong một buổi phỏng vấn thử nghiệm với ứng viên "Harry", Wijckmans đã nhận thấy Harry có nhiều dấu hiệu của một ứng viên giả mạo: nền ảo mặc định của Google Meet, kết nối internet chậm chạp, phát âm không tự nhiên dù khai báo là người New York. Khi được hỏi các câu hỏi kỹ thuật sâu hơn, Harry xin phép rời cuộc gọi và sau đó quay lại với câu trả lời rõ ràng hơn, có thể nhờ sự hỗ trợ của chatbot hoặc đồng nghiệp.



Một ứng viên khác tên "Nic" còn gây khó hiểu hơn, khi trả lời những câu hỏi liên quan đến bảo mật web bằng một bài diễn văn dài dòng về biên giới quốc gia và thực thi luật di trú, cho thấy chatbot AI mà người này dùng để gian lận bài thi phóng vấn xin việc đã hiểu sai thuật ngữ “Border Gateway Protocol”.

Wijckmans sau này đã phát triển một trang web giả mạo để đánh lừa các ứng viên giả mạo. Khi họ bắt đầu bài kiểm tra lập trình, trang web sẽ hiển thị hàng loạt cửa sổ pop-up chứa thông tin về cách đào thoát khỏi Bắc Triều Tiên, phát nhạc ồn ào và tải xuống các tệp ngẫu nhiên.

Mặc dù những biện pháp này không thể ngăn chặn hoàn toàn hoạt động của các điệp viên Bắc Triều Tiên, nhưng chúng có thể gây khó chịu cho họ và nâng cao nhận thức về vấn đề này. Các điệp viên vẫn tiếp tục hoạt động từ các "xưởng hack" ở Trung Quốc hoặc Mỹ, tham gia vào các cuộc họp trực tuyến một cách kín đáo. Bài viết nhấn mạnh sự cần thiết phải tăng cường các biện pháp bảo mật và cảnh giác trong tuyển dụng để đối phó với mối đe dọa ngày càng tinh vi này.

Theo Wired