เกาหลีเหนือกำหนดเป้าหมายนักวิจัยด้านความปลอดภัยทางไซเบอร์โดยใช้การแฮ็กและการจารกรรมผสมผสาน

เกาหลีเหนือกำหนดเป้าหมายนักวิจัยด้านความปลอดภัยทางไซเบอร์โดยใช้การแฮ็กและการจารกรรมผสมผสาน

แฮกเกอร์ชาวเกาหลีเหนือได้แสดงการโจมตีที่กล้าหาญโดยมุ่งเป้าไปที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งหลายคนทำงานเพื่อตอบโต้แฮกเกอร์จากสถานที่ต่างๆ เช่น เกาหลีเหนือ รัสเซีย จีน และอิหร่าน การโจมตีเกี่ยวข้องกับความพยายามที่ซับซ้อนในการหลอกลวงบุคคล ซึ่งเพิ่มระดับของวิศวกรรมสังคมหรือการโจมตีแบบฟิชชิ่ง และเข้าสู่ขอบเขตของการค้าสายลับ

การโจมตีดังกล่าวรายงานโดยนักวิจัยของ Google โดยมีศูนย์กลางอยู่ที่บัญชีโซเชียลมีเดียปลอมบนแพลตฟอร์มต่างๆ รวมถึง Twitter บุคคลปลอมซึ่งสวมบทบาทเป็นแฮ็กเกอร์ที่มีจริยธรรม ได้ติดต่อนักวิจัยด้านความปลอดภัยพร้อม ข้อเสนอให้ทำงานร่วม กันในการวิจัย บัญชีโซเชียลมีเดียมีเนื้อหาเกี่ยวกับความปลอดภัยทางไซเบอร์และวิดีโอปลอมที่อ้างว่าแสดงช่องโหว่ด้านความปลอดภัยทางไซเบอร์ใหม่

แฮกเกอร์ล่อลวงให้นักวิจัยคลิกลิงก์ไปยังโครงการรหัสที่ใช้ร่วมกัน ซึ่งเป็นที่เก็บซอฟต์แวร์ที่เกี่ยวข้องกับการวิจัยความปลอดภัยทางไซเบอร์ ซึ่งมีโค้ดที่เป็นอันตรายที่ออกแบบมาเพื่อให้แฮกเกอร์เข้าถึงคอมพิวเตอร์ของนักวิจัยได้ นักวิจัยด้านความปลอดภัยทางไซเบอร์หลายคนรายงานว่าพวกเขาตกเป็นเหยื่อของการโจมตี

จากฟิชชิ่งสู่การจารกรรม

ระดับต่ำสุดของการแฮ็กด้านวิศวกรรมสังคมคือการ โจมตี แบบฟิชชิ่ง ทั่วไป : ข้อความที่ไม่มีตัวตนที่ส่งถึงคนจำนวนมากด้วยความหวังว่าจะมีใครบางคนถูกหลอกให้คลิกลิงก์ที่เป็นอันตราย การโจมตีแบบฟิชชิ่งมักเพิ่มขึ้นตั้งแต่ต้นปี 2020 ซึ่งเป็นผลข้างเคียงของสภาพแวดล้อมการทำงานจากที่บ้านที่แพร่ระบาดในวงกว้าง ซึ่งบางครั้งผู้คนก็ระมัดระวังตัวน้อยลง นี่เป็นสาเหตุที่ทำให้ ransomware กลายเป็นที่แพร่หลาย

ระดับต่อไปของความซับซ้อนคือspear -phishing ที่นี่ผู้คนตกเป็นเป้าหมายด้วยข้อความที่มีข้อมูลเฉพาะสำหรับพวกเขาหรือองค์กรของพวกเขา ซึ่งเพิ่มโอกาสที่ใครบางคนจะคลิกลิงก์ที่เป็นอันตราย

ปฏิบัติการของเกาหลีเหนืออยู่ในระดับที่สูงกว่าหอกฟิชชิ่ง เพราะมุ่งเป้าไปที่ผู้ที่คำนึงถึงความปลอดภัยโดยธรรมชาติของการยึดครอง สิ่งนี้ทำให้แฮกเกอร์ต้องสร้างบัญชีโซเชียลมีเดียที่น่าเชื่อถือพร้อมเนื้อหาเกี่ยวกับความปลอดภัยทางไซเบอร์ รวมถึงวิดีโอ ที่อาจหลอกนักวิจัยด้านความปลอดภัยทางไซเบอร์

ปฏิบัติการของเกาหลีเหนือเน้นย้ำแนวโน้มสำคัญสามประการ ได้แก่ การขโมยอาวุธไซเบอร์จากอุตสาหกรรม โซเชียลมีเดียในฐานะอาวุธ และการเบลอของสงครามไซเบอร์และข้อมูล

1. การขโมยอาวุธไซเบอร์จากอุตสาหกรรม

ก่อนปฏิบัติการของเกาหลีเหนือ การขโมยอาวุธไซเบอร์กลายเป็นหัวข้อข่าวเมื่อปลายปี 2020 โดยเฉพาะอย่างยิ่ง การละเมิด FireEye ในเดือนธันวาคม ส่งผลให้เกิดการขโมยเครื่องมือที่ใช้โดยแฮ็กเกอร์ที่มีจริยธรรม เครื่องมือเหล่านี้ใช้เพื่อเจาะระบบความปลอดภัยของลูกค้าองค์กรเพื่อแสดงช่องโหว่ให้กับลูกค้า

เหตุการณ์ก่อนหน้านี้ที่เกิดจากรัสเซีย แสดงให้เห็นว่าแฮ็กเกอร์พยายามเพิ่มคลังอาวุธทางไซเบอร์ของพวกเขาด้วยการขโมยจากบริษัทรักษาความปลอดภัยทางไซเบอร์เชิงพาณิชย์ได้อย่างไร การกระทำของเกาหลีเหนือต่อนักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าพวกเขาได้นำกลยุทธ์ที่คล้ายคลึงกันมาใช้แม้ว่าจะมีชั้นเชิงที่แตกต่างกัน

ย้อนกลับไปในช่วงฤดูใบไม้ร่วงสำนักงานความมั่นคงแห่งชาติได้เปิดเผยรายการช่องโหว่ – วิธีที่ซอฟต์แวร์และเครือข่ายสามารถถูกแฮ็ก – ซึ่งถูกโจมตีโดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐของจีน แม้จะมีคำเตือนเหล่านี้ช่องโหว่ยังคงมีอยู่และข้อมูลเกี่ยวกับวิธีการใช้ประโยชน์จากช่องโหว่เหล่านี้สามารถพบได้บนโซเชียลมีเดียและดาร์กเว็บ ข้อมูลนี้ชัดเจนและมีรายละเอียดเพียงพอที่บริษัทของฉัน CYR3CON สามารถใช้การเรียนรู้ของเครื่องเพื่อคาดการณ์การใช้ช่องโหว่เหล่านี้

2. อาวุธของโซเชียลมีเดีย

การดำเนินการด้านข้อมูล – การรวบรวมข้อมูลและการเผยแพร่ข้อมูลบิดเบือน – บนโซเชียลมีเดียมีมากมายในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะอย่างยิ่งการดำเนินการโดยรัสเซีย ซึ่งรวมถึงการใช้ “ โซเชีย ลบอท ” เพื่อเผยแพร่ข้อมูลเท็จ “โซเชียลมีเดียที่ทำให้เกิดโรค” นี้ถูกใช้โดยหน่วยข่าวกรองแห่งชาติและแฮกเกอร์ทั่วไป

ตามเนื้อผ้า การกำหนดเป้าหมายประเภทนี้ได้รับการออกแบบมาเพื่อเผยแพร่ข้อมูลเท็จหรือดึงดูดผู้บริหารหรือพนักงานระดับสูงของรัฐบาลให้คลิกลิงก์ที่เป็นอันตราย ในทางตรงกันข้าม ปฏิบัติการของเกาหลีเหนือมุ่งเป้าไปที่การขโมยอาวุธไซเบอร์และข้อมูลเกี่ยวกับช่องโหว่

3. การบรรจบกันของสงครามไซเบอร์และสารสนเทศ

นอกสหรัฐอเมริกา โดยเฉพาะในจีนและรัสเซีย ปฏิบัติการทางไซเบอร์ถือเป็นส่วนหนึ่งของแนวคิดในวงกว้างของการทำสงครามข้อมูล โดยเฉพาะอย่างยิ่งชาวรัสเซียได้พิสูจน์แล้วว่าเชี่ยวชาญมากในการรวมการดำเนินงานด้านข้อมูลและการดำเนินการทางอินเทอร์เน็ตเข้าด้วยกัน สงครามข้อมูลรวมถึงการใช้การค้าสายลับแบบดั้งเดิม – ผู้ปฏิบัติการที่มีตัวตนเท็จที่พยายามได้รับความไว้วางใจจากเป้าหมายของพวกเขา – เพื่อรวบรวมและเผยแพร่ข้อมูล

การโจมตีนักวิจัยด้านความปลอดภัยทางไซเบอร์อาจบ่งชี้ว่าเกาหลีเหนือกำลังใช้ตัวชี้นำจากมหาอำนาจอื่นเหล่านี้ ความสามารถต้นทุนต่ำของระบอบเผด็จการระดับสองเช่นเกาหลีเหนือในการติดอาวุธโซเชียลมีเดียทำให้มีความได้เปรียบเหนือความสามารถด้านเทคนิคที่มากขึ้นของสหรัฐฯ

นอกจากนี้ ดูเหมือนว่าชาวเกาหลีเหนือจะใช้หนึ่งในอาวุธไซเบอร์ที่มีค่าที่สุดในการดำเนินการนี้ Google รายงานว่าดูเหมือนว่าแฮกเกอร์ใช้วิธีการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ซึ่งเป็นข้อบกพร่องของซอฟต์แวร์ที่ไม่เป็นที่รู้จักอย่างกว้างขวางในเบราว์เซอร์ Chrome ของ Google ในการโจมตีนักวิจัยด้านความปลอดภัยทางไซเบอร์ เมื่อมีการใช้ช่องโหว่ดังกล่าว ผู้คนจะได้รับการแจ้งเตือนให้ป้องกันและจะมีประสิทธิภาพน้อยลง

กำลังตั้งเวทีสำหรับสิ่งที่ใหญ่กว่านี้หรือไม่?

ในการรักษาความปลอดภัยในโลกไซเบอร์ รายการข่าวใหญ่มักจะเป็นเหตุการณ์อย่างเช่นปฏิบัติการ Sunburstโดยแฮ็กเกอร์ชาวรัสเซียในเดือนธันวาคม ซึ่งเป็นการโจมตีทางไซเบอร์ขนาดใหญ่ที่สร้างความเสียหายอย่างมาก ในการโจมตีแบบ Sunburst แฮ็กเกอร์ชาวรัสเซียได้ดักจับซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย ซึ่งทำให้พวกเขาเข้าถึงเครือข่ายของบริษัทและหน่วยงานภาครัฐจำนวนมาก

เหตุการณ์ใหญ่เหล่านี้มักเกิดขึ้นจากเหตุการณ์เล็กๆ ที่มีการทดลองเทคนิคใหม่ๆ ซึ่งมักจะไม่สร้างผลกระทบมากนัก ในขณะที่เวลาจะบอกได้ว่านี่เป็นเรื่องจริงของปฏิบัติการของเกาหลีเหนือหรือไม่ กระแสทั้งสามในปัจจุบัน – การขโมยอาวุธไซเบอร์จากอุตสาหกรรม, โซเชียลมีเดียในฐานะอาวุธ และการเบลอของสงครามไซเบอร์และข้อมูล – ลางสังหรณ์ของสิ่งต่าง ๆ ที่จะเกิดขึ้น