Sau vụ mã độc WannaCry tấn công toàn thế giới, giới công nghệ và an ninh mạng tiếp tục săm soi hoạt động của thế giới ngầm các tin tặc nguy hiểm nhất thế giới đến từ mọi quốc gia. Xâu chuỗi các vụ việc tấn công mạng trong vài năm gần đây, giới chuyên gia an ninh mạng đang tập trung mối lo vào CHDCND Triều Tiên, với cơ quan tình báo thuộc hàng bí mật nhất thế giới và lực lượng tin tặc cực kỳ nguy hiểm.

Unit 180, nỗi ám ảnh của phương Tây

Đất nước Triều Tiên vốn được xem là một trong những quốc gia khép kín và nhiều bí ẩn nhất thế giới, vì thế những hoạt động của các lực lượng an ninh, tình báo, tin tặc của nước này thường khó nắm bắt.

Ngay cả các cơ quan tình báo chuyên nghiệp của phương Tây, chủ yếu là Mỹ, cũng đành chịu "bó tay", luôn bị mù thông tin về Triều Tiên. Muốn có được thông tin về Triều Tiên, nếu không đặt chân trực tiếp lên đất nước này và chịu sự giám sát chặt chẽ của các cơ quan an ninh thì không còn cách nào khác.

Căn nhà được xem là nơi đặt trụ sở của Unit 180 ở Bình Nhưỡng.

Báo chí và các cơ quan tình báo nước ngoài, kể cả nước láng giềng Hàn Quốc, nắm thông tin về nội bộ CHDCND Triều Tiên chủ yếu thông qua việc phỏng vấn các chuyên gia nghiên cứu sâu về Triều Tiên, từng đến Triều Tiên, và những người chạy trốn khỏi đất nước Triều Tiên sang cư trú ở Hàn Quốc, Trung Quốc hoặc nhiều nước khác.

Kim Heung-kwang, cựu giáo sư khoa học máy tính tại Bình Nhưỡng, là một trong những người trốn khỏi Triều Tiên vừa nêu. Ông Kim đào tẩu sang Hàn Quốc từ năm 2004 và hiện nay vẫn duy trì quan hệ và liên lạc với các nguồn tin bên trong Triều Tiên.

Từ thời còn làm việc ở Bình Nhưỡng, Kim biết được rằng Tổng cục Thám báo (RGB), Cơ quan tình báo quốc gia của CHDCND Triều Tiên, có một đơn vị tình báo rất đặc biệt mang tên Unit 180 (Đơn vị 180), là đơn vị chuyên trách các hoạt động tình báo và phá hoại ở nước ngoài.

Unit 180 có một bộ phận gọi là Strategic Cyber Command (Bộ Chỉ huy Chiến lược mạng - SCC), và ông Kim cho rằng nhiều học trò của ông đã tham gia đơn vị này. Theo ông Kim, Unit 180, mà cụ thể là SCC, chính là đơn vị thường xuyên thực hiện các vụ tấn công mạng ở nước ngoài với mục đích thu về nguồn tài chính cho chính phủ.

Thông qua các học trò cũ, Kim nắm được sơ bộ cách thức hoạt động của Unit 180. Đại khái, theo ông Kim, Unit 180 thường phái người thuộc bộ phận chuyên trách SCC ra nước ngoài, tìm đến các địa điểm có mạng Internet hoạt động tốt để thực hiện các hành động tấn công mạng, vì cơ sở hạ tầng mạng Internet của CHDCND Triều Tiên còn yếu kém, chưa đáp ứng được nhiệm vụ đòi hỏi điều kiện công nghệ và kỹ thuật hiện đại.

Hãng tin Reuters trích dẫn lời ông Kim cho rằng Unit 180 thường bẻ khóa đột nhập vào các tổ chức tín dụng, ngân hàng và rút tiền từ các tài khoản. James Lewis, chuyên gia về CHDCND Triều Tiên tại Trung tâm Nghiên cứu Chiến lược và Quốc tế (CSIS) tại Washington cho biết, trước tiên Bình Nhưỡng sử dụng các tin tặc cho mục đích gián điệp và sau đó thực hiện hành động quấy rối chính trị một số mục tiêu ở Hàn Quốc và Mỹ.

Cộng hòa dân chủ nhân dân Triều Tiên có liên quan WannaCry không?

Ngay sau vụ tấn công toàn cầu của mã độc WannaCry hôm 12-5, giới chuyên gia công nghệ và an ninh mạng phương Tây ngay lập tức cho rằng tin tặc Triều Tiên "có khả năng" là thủ phạm tạo ra WannaCry.

Nhân viên của Cục An ninh và Internet Hàn Quốc giám sát hoạt động của mã độc WannaCry.

Khi thông tin về sự xuất hiện của những công cụ mã độc của NSA do nhóm tin tặc Shadow Brokers tung lên mạng từ tháng 4/2017, giới chuyên gia an ninh mạng tiếp tục suy luận rằng WannaCry có thể do tin tặc Triều Tiên tạo ra từ công cụ mã độc của NSA bị tung lên các diễn đàn "đen". Những cáo buộc đó không dựa trên cơ sở chứng cứ cụ thể, vì cho đến nay các nhà điều tra của CIA và FBI vẫn chưa thể lần ra dấu vết chính xác WannaCry có dính líu gì đến CHDCND Triều Tiên hay không.

Chủ yếu các cáo buộc của phương Tây nhắm vào CHDCND Triều Tiên được liên hệ đến những hoạt động tấn công mạng trong quá khứ do Unit 180 thực hiện. Mỗi năm xảy ra hàng ngàn vụ tấn công mạng, và tin tặc thực hiện các vụ tấn công này cũng đa dạng, không riêng một quốc gia nào. Nhưng những vụ tấn công quy mô lớn và tính chất, mức độ nguy hại, thời điểm và phương thức tấn công của nó lại khiến giới chuyên gia nghĩ đến hoạt động của tin tặc Triều Tiên.

Trong vài năm gần đây đã xảy ra một số vụ như thế, mà điển hình là vụ tấn công vào phòng thu của hãng Sony ở Hollywood vào năm 2014. Đặc biệt là trong vụ tấn công lấy trộm 81 triệu USD trong các tài khoản tiền gửi ở Ngân hàng Trung ương Bangladesh vào năm 2016, Unit 180 được nêu tên như là thủ phạm hàng đầu.

Chưa hết, mới đây, các chuyên gia trong Hội đồng chuyên gia của LHQ giám sát việc thực thi Nghị quyết 1718 của Hội đồng Bảo an LHQ đã gửi thư lên Ủy ban thực thi Nghị quyết 1718 thông báo vừa bị tin tặc tấn công vào hệ thống máy tính. Nghị quyết 1718 của Hội đồng Bảo an LHQ được thông qua ngày 12/6/2009 trong đó ban hành các biện pháp trừng phạt CHDCND Triều Tiên do hoạt động thử hạt nhân của nước này.

Vụ tấn công mạng xảy ra vào ngày 8/5/2017, và các chuyên gia của Hội đồng chuyên gia 1718 đặt nghi vấn vụ tấn công có liên quan đến tin tặc của CHDCND Triều Tiên, mặc dù chưa có bằng chứng cụ thể, chủ yếu dựa vào suy luận, và đại sứ của CHDCND Triều Tiên tại LHQ đã lên tiếng phản bác. Cũng như vụ tấn công mới nhất WannaCry, các bằng chứng để truy trách nhiệm cho tin tặc CHDCND Triều Tiên đều không rõ ràng, do đó các nhà điều tra không thể đưa ra bất cứ kết luận chắc chắn nào.

Trong một báo cáo trình Quốc hội Mỹ vào năm 2016, Bộ Quốc phòng Mỹ cho rằng, CHDCND Triều Tiên có thể "xem tấn công mạng là một công cụ ít tốn kém, dễ chối bỏ trách nhiệm mà cũng ít rủi ro để thực hiện các cuộc tấn công, một phần bởi vì mạng lưới viễn thông của nước này hầu như tách biệt với thế giới".

Báo cáo dựa trên cơ sở chứng cứ từ Hàn Quốc để đưa ra kết luận rằng, lực lượng chiến tranh mạng của CHDCND Triều Tiên thường lợi dụng hệ thống mạng của một nước thứ ba để thực hiện hành động tấn công, do đó cũng rất khó cho các nhà điều tra của Mỹ và các nước khác truy lùng.

Thứ trưởng Bộ Ngoại giao Hàn Quốc Ahn Chong-ghee cho biết, ngoài vụ tấn công ngân hàng ở Bangladesh, Unit 180 còn bị nghi ngờ đã thực hiện nhiều vụ tấn công tương tự ở Philippines và Ba Lan. Tháng 6/2016, cảnh sát Hàn Quốc cáo buộc các hacker tình báo CHDCND Triều Tiên đã xâm nhập vào 140.000 máy tính của 160 công ty và cơ quan nhà nước ở Hàn Quốc, cấy mã độc vào các máy tính để tạo cơ sở cho một cuộc tấn công mạng quy mô lớn trong tương lai. CHDCND Triều Tiên cũng bị nghi ngờ là thủ phạm tấn công mạng vào một nhà máy hạt nhân của Hàn Quốc vào năm 2014. Vụ tấn công đó được thực hiện tại một căn cứ ở Trung Quốc, chính vì thế mà Bình Nhưỡng có lý do để chối bỏ trách nhiệm của mình.

Ngoài ra, chuyên gia Yoo Dong-ryul, người có hơn 25 năm nghiên cứu về tình báo CHDCND Triều Tiên, nghi ngờ các tin tặc tình báo của CHDCND Triều Tiên cũng có một căn cứ chiến tranh mạng mới xây dựng gần đây ở Malaysia. Các tin tặc Triều Tiên ở Malaysia tạo vỏ bọc bằng cách tham gia làm việc tại các công ty chuyên về công nghệ thông tin, một số người còn xây dựng và quản lý website để tiện phục vụ cho hoạt động tấn công mạng.