Deepfake như một vũ khí: cách hacker Triều Tiên sử dụng video AI chống lại các chuyên gia tiền điện tử

Nguy cơ mạng đang ngày càng biến đổi. Nhóm hacker Triều Tiên Lazarus Group, còn được biết đến với tên gọi khác là BlueNoroff, đã bổ sung công nghệ deepfake tiên tiến vào kho vũ khí của mình. Đây là một bước tiến đáng kể trong quá trình tiến hóa của các cuộc tấn công mạng nhằm vào ngành công nghiệp crypto, nơi các khoản đầu tư tài chính và tài sản kỹ thuật số có mức độ rủi ro cao đặc biệt. Theo báo cáo của công ty nghiên cứu Odaily, các hacker đã thành công trong việc sử dụng các video tổng hợp để truy cập vào hệ thống của các chuyên gia trong lĩnh vực crypto.

Cách hoạt động của cuộc tấn công bằng video deepfake

Cơ chế tấn công rất tinh vi và xảo quyệt. Các hacker, hoạt động dưới danh nghĩa Lazarus Group, khởi phát các cuộc gọi video qua các tài khoản bị xâm phạm trên Telegram, sử dụng các video giả mạo của các liên hệ nổi tiếng của nạn nhân. Мартин Кухарж, đồng sáng lập hội nghị BTC Prague, đã ghi nhận một vụ việc tương tự và mô tả chiến thuật của kẻ tấn công: họ thao túng lòng tin và thuyết phục các người dùng mục tiêu cài đặt phần mềm dường như vô hại để sửa lỗi âm thanh trong Zoom.

Điều nguy hiểm chính là phần mềm độc hại được ngụy trang dưới dạng plugin. Sau khi cài đặt, nó cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn thiết bị. Các nhà nghiên cứu từ công ty an ninh Huntress đã phát hiện ra rằng các phương pháp này tương tự như các hoạt động trước đó nhắm vào các nhà phát triển trong lĩnh vực tiền mã hóa.

Lazarus Group mở rộng kho vũ khí tấn công

Các chuyên gia của Huntress và các nhà phân tích từ công ty SlowMist đã xếp các hoạt động này vào nhóm hacker được nhà nước Triều Tiên hậu thuẫn. Những kẻ tấn công thể hiện các dấu hiệu rõ ràng của một phương pháp tiếp cận có hệ thống: mỗi hoạt động đều được chuẩn bị kỹ lưỡng và nhắm vào các ví tiền cụ thể cũng như các chuyên gia crypto riêng lẻ.

Phần mềm độc hại được cài đặt có khả năng thực hiện các cuộc tấn công đa lớp trên các thiết bị macOS. Chức năng của nó bao gồm cấy mã backdoor, ghi lại các phím nhấn, đánh cắp nội dung clipboard và truy cập vào các tài sản mã hóa trong ví tiền điện tử. Đây là một cuộc tấn công toàn diện nhằm gây thiệt hại tối đa.

Tại sao công nghệ deepfake trở thành mối đe dọa nghiêm trọng

Với sự phổ biến của công nghệ tạo deepfake và sao chép giọng nói, xác thực bằng hình ảnh và video bắt đầu mất đi độ tin cậy. Các phương pháp xác thực danh tính truyền thống — như video và ghi âm — không còn là phương thức xác thực an toàn nữa. Điều này tạo ra một kênh lỗ hổng mới đặc biệt cho ngành công nghiệp crypto, nơi các giao dịch có thể lên đến số tiền lớn và khả năng khôi phục tài sản bị mất là rất hạn chế.

Các nhà phân tích cảnh báo rằng, khi công nghệ deepfake ngày càng hoàn thiện và các công cụ phù hợp được phổ biến rộng rãi, số lượng các cuộc tấn công kiểu này sẽ chỉ tăng lên. Những kẻ xấu ngày càng có các phương pháp hiệu quả hơn để vượt qua các cơ chế tin cậy truyền thống.

Cách tự bảo vệ khỏi các cuộc tấn công deepfake

Ngành công nghiệp crypto cần không chỉ phản ứng mà còn chủ động củng cố các biện pháp phòng thủ của mình. Biện pháp hàng đầu là triển khai và sử dụng xác thực đa yếu tố ở tất cả các cấp. Không bao giờ mở các liên kết hoặc tải phần mềm dựa trên cuộc gọi video, ngay cả khi người đối thoại rõ ràng đã quen biết bạn.

Ngoài ra, các chuyên gia crypto cần dựa vào các kênh xác thực bổ sung như cuộc gọi thoại qua các nền tảng khác, tin nhắn trực tiếp qua các kênh bảo mật, hoặc các từ khóa mã đã thỏa thuận trước. Các công ty cần đào tạo nhân viên nhận biết các dấu hiệu của kỹ thuật xã hội và khai thác lòng tin qua video deepfake. Nhận thức và thận trọng là các hàng rào bảo vệ then chốt trong thời đại công nghệ tổng hợp video ngày càng phát triển.