เกาหลีเหนือใช้แผนสงครามไซเบอร์ แทรกซึมบริษัทเทคโนโลยีในสหรัฐอเมริกา
เกาหลีเหนือใช้กลยุทธ์แฝงตัวเป็นพนักงานไอทีในบริษัทสหรัฐฯ เพื่อขโมยข้อมูลสำคัญ สร้างความตื่นตระหนกในวงการความมั่นคงไซเบอร์
Key takeaway
- แฮกเกอร์จากเกาหลีเหนือแฝงตัวเป็นผู้สมัครงานและได้รับการว่าจ้างในบริษัทเทคโนโลยีชั้นนำของสหรัฐฯ กว่า 100 แห่ง
- เป้าหมายหลักคือการขโมยข้อมูลสำคัญขององค์กร โดยใช้เครื่องมือ Remote Monitoring and Management (RMM) เพื่อเข้าถึงระบบจากระยะไกล
- FBI และกระทรวงยุติธรรมสหรัฐฯ ได้ออกคำเตือนและดำเนินการทางกฎหมายกับผู้เกี่ยวข้องในแผนการนี้
- เหตุการณ์นี้เป็นสัญญาณเตือนให้องค์กรทั่วโลกต้องเพิ่มความระมัดระวังในการจ้างงานระยะไกลและปรับปรุงมาตรการรักษาความปลอดภัยไซเบอร์
CrowdStrike บริษัทชั้นนำด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานประจำปี 2024 ที่น่าตกใจเกี่ยวกับการแทรกซึมของแฮกเกอร์จากเกาหลีเหนือในบริษัทเทคโนโลยีและอุตสาหกรรมสำคัญของสหรัฐฯ โดยแฮกเกอร์เหล่านี้ได้แอบแฝงตัวเป็นผู้สมัครงานและสามารถเข้าสู่ตำแหน่งงานในบริษัทชั้นนำได้กว่า 100 แห่ง ข้อมูลนี้ชี้ให้เห็นถึงภัยคุกคามที่ใหญ่หลวงและเป็นการเปิดโปงขบวนการจารกรรมระดับโลกที่กำลังขยายตัวอย่างรวดเร็ว
กลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ "FAMOUS CHOLLIMA" มีความเชื่อมโยงกับหน่วยงานข่าวกรองและการสงครามไซเบอร์ของเกาหลีเหนือ ซึ่งเป็นหน่วยงานที่มีชื่อเสียงด้านการโจมตีทางไซเบอร์ในระดับสูง กลุ่มนี้ได้ใช้เอกสารปลอมและเอกสารที่ถูกขโมยมา ในการปลอมแปลงข้อมูลตนเอง ทำให้สามารถเข้าทำงานในตำแหน่งด้านเทคโนโลยีสารสนเทศ (IT) ในบริษัทต่างๆ ได้อย่างง่ายดาย
แผนการโจมตีที่ซับซ้อน
เมื่อได้รับการว่าจ้าง แฮกเกอร์เหล่านี้จะทำหน้าที่เพียงเล็กน้อยในงานที่ได้รับมอบหมาย แต่เป้าหมายที่แท้จริงคือการขโมยข้อมูลสำคัญจากองค์กร ไม่ว่าจะเป็นข้อมูลทางธุรกิจ การวิจัยและพัฒนา หรือข้อมูลส่วนบุคคลของลูกค้า จากรายงานของ CrowdStrike พบว่าครึ่งหนึ่งของเคสที่สังเกตได้ มีการใช้ข้อมูลเหล่านี้ในการจารกรรมข้อมูลออกไปจากบริษัท
แฮกเกอร์ยังได้ติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) เช่น RustDesk, AnyDesk และ Google Chrome Remote Desktop ในระบบของบริษัทที่พวกเขาแฝงตัวอยู่ เพื่อรักษาความปลอดภัยในการเข้าถึงข้อมูลและป้องกันการถูกตรวจจับ โดยเครื่องมือเหล่านี้ทำให้พวกเขาสามารถเชื่อมต่อจากระยะไกล และแอบอ้างว่าเป็นพนักงานปกติในระบบเครือข่ายได้
Adam Meyers หัวหน้าฝ่ายปฏิบัติการต่อต้านการจารกรรมของ CrowdStrike ได้ระบุว่า "สิ่งที่น่าตกใจที่สุดเกี่ยวกับการโจมตีนี้คือขนาดและความกว้างขวางของการคุกคามจากภายใน เราได้แจ้งเตือนบริษัทที่เป็นเหยื่อกว่า 100 แห่ง ส่วนใหญ่เป็นบริษัทในสหรัฐฯ ที่ไม่รู้ตัวว่าจ้างแฮกเกอร์จากเกาหลีเหนือ" นอกจากนี้ Meyers ยังเตือนว่า "การโจมตีนี้เป็นสัญญาณเตือนสำหรับบริษัททั่วโลกที่ควรระมัดระวังการจ้างงานจากระยะไกล และควรเพิ่มมาตรการความปลอดภัยในการตรวจสอบพนักงานใหม่"
ผลกระทบและมาตรการตอบโต้
FBI ได้ออกคำเตือนถึงบริษัทอเมริกันเกี่ยวกับการหลีกเลี่ยงการคว่ำบาตรของเกาหลีเหนือ ผ่านการจ้างงานในบริษัทเอกชน โดยกระทรวงยุติธรรมสหรัฐฯ (DoJ) ได้ดำเนินการทางกฎหมายกับบุคคลที่เกี่ยวข้องกับแผนการนี้ รวมถึงผู้ที่มีส่วนเกี่ยวข้องและช่วยเหลือแฮกเกอร์เหล่านี้ในการทำงาน
การเปิดโปงนี้เป็นการส่งสัญญาณเตือนถึงการเปลี่ยนแปลงในรูปแบบของการโจมตีทางไซเบอร์ที่ไม่ใช่เพียงแค่การแฮกระบบจากภายนอกเท่านั้น แต่ยังรวมถึงการแฝงตัวเข้าไปภายในองค์กรอย่างเป็นระบบด้วย นี่เป็นบทเรียนสำคัญสำหรับองค์กรทั่วโลกในการปรับปรุงมาตรการความปลอดภัยไซเบอร์ และระมัดระวังในการจ้างงานพนักงานจากระยะไกลที่อาจจะมีความเสี่ยงสูง
Why it matters
ข้อมูลอ้างอิงจาก CrowdStrike 2024 report exposes North Korea’s covert workforce in U.S. tech firms
