Các tin tặc này được cho là có nguồn gốc từ Triều Tiên và đã thực hiện những cuộc tấn công mạng nhằm vào các cửa hàng trực tuyến, trang web thương mại điện từ tháng 5/2019 cho đến nay.
Một trong những “nạn nhân” lớn của các tin tặc mà SanSec phát hiện ra đó là Claire - chuỗi cửa hàng bán lẻ phụ kiện và trang sức của Mỹ. SanSec cho biết hệ thống của Claire đã bị hacker tấn công và xâm nhập vào ngày 4/6/2020.
Theo SanSec, hình thức thức tấn công mà các tin tặc sử dụng có tên gọi “Magecart”. Mặc dù, cách tấn công có bản chất đơn giản nhưng đòi hỏi kỹ năng cao từ phía các tin tặc để thực thi. Mục tiêu tấn công của các tin tặc là chiếm quyền kiểm soát máy chủ của các cửa hàng trực tuyến, các widget bên thứ 3 được cài đặt trên trang web… để có thể cài đặt và thực thi mã độc trên giao diện của trang web.
Các mã độc chỉ được kích hoạt trên giao diện thanh toán của trang web và sẽ âm thầm lưu lại các thông tin chi tiết về tài khoản thanh toán của người dùng khi họ khai báo thông tin thanh toán. Các dữ liệu này sau đó được gửi cho máy chủ bên ngoài do tin tặc kiểm soát. Các dữ liệu bị đánh cắp sẽ được sử dụng để mua sắm trên mạng hoặc bán trên thị trường chợ đen.
Hình thức tấn công “Magecart” thường đòi hỏi tin tặc phải duy trì hoạt động của một cơ sở hạ tầng lớn để lưu trữ mã độc hoặc để thu thập dữ liệu. SanSec cho biết đã phát hiện ra bằng chứng cho thấy cơ sở hạ tầng mà tin tặc sử dụng trong những vụ tấn công “Magecart” gần đây từng được các tin tặc tại Triều Tiên sử dụng trong những vụ tấn công mạng trước đó.
Willem de Groot, nhà sáng lập của SanSec khẳng định có bằng chứng cho thấy nhóm tin tặc với tên gọi Hidden Cobra, có nguồn gốc từ Triều Tiên là thủ phạm đứng đằng sau những vụ tấn công mạng nhằm vào các trang thương mại điện tử trong thời gian gần đây.
“Cách thức để Hidden Cobra chiếm quyền truy cập hệ thống máy chủ là chưa được rõ, nhưng các tin tặc thường sử dụng các email lừa đảo nhằm vào quản lý các cửa hàng để lấy cắp mật khẩu”, Willem de Groot cho biết.
Trước đó, nhiều nhóm tin tặc được cho là đến từ Triều Tiên cũng bị cáo buộc là thủ phạm tấn công vào hệ thống mạng của nhiều ngân hàng trên toàn cầu để lấy cắp tiền và thực hiện các vụ lừa đảo.
Nhiều chuyên gia bảo mật cũng đã cáo buộc tin tặc Triều Tiên là tác giả của loại mã độc tống tiền WannaCry từng khiến cả thế giới phải “điên đầu”, tuy nhiên, đến nay vẫn chưa có bằng chứng cụ thể nào để chứng minh cho điều này.