news

เกาหลีเหนือใช้แผนสงครามไซเบอร์ แทรกซึมบริษัทเทคโนโลยีในสหรัฐอเมริกา

เกาหลีเหนือใช้กลยุทธ์แฝงตัวเป็นพนักงานไอทีในบริษัทสหรัฐฯ เพื่อขโมยข้อมูลสำคัญ สร้างความตื่นตระหนกในวงการความมั่นคงไซเบอร์

Prompt Expert

Aug 31, 2024

Key takeaway

แฮกเกอร์จากเกาหลีเหนือแฝงตัวเป็นผู้สมัครงานและได้รับการว่าจ้างในบริษัทเทคโนโลยีชั้นนำของสหรัฐฯ กว่า 100 แห่ง
เป้าหมายหลักคือการขโมยข้อมูลสำคัญขององค์กร โดยใช้เครื่องมือ Remote Monitoring and Management (RMM) เพื่อเข้าถึงระบบจากระยะไกล
FBI และกระทรวงยุติธรรมสหรัฐฯ ได้ออกคำเตือนและดำเนินการทางกฎหมายกับผู้เกี่ยวข้องในแผนการนี้
เหตุการณ์นี้เป็นสัญญาณเตือนให้องค์กรทั่วโลกต้องเพิ่มความระมัดระวังในการจ้างงานระยะไกลและปรับปรุงมาตรการรักษาความปลอดภัยไซเบอร์

CrowdStrike บริษัทชั้นนำด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานประจำปี 2024 ที่น่าตกใจเกี่ยวกับการแทรกซึมของแฮกเกอร์จากเกาหลีเหนือในบริษัทเทคโนโลยีและอุตสาหกรรมสำคัญของสหรัฐฯ โดยแฮกเกอร์เหล่านี้ได้แอบแฝงตัวเป็นผู้สมัครงานและสามารถเข้าสู่ตำแหน่งงานในบริษัทชั้นนำได้กว่า 100 แห่ง ข้อมูลนี้ชี้ให้เห็นถึงภัยคุกคามที่ใหญ่หลวงและเป็นการเปิดโปงขบวนการจารกรรมระดับโลกที่กำลังขยายตัวอย่างรวดเร็ว

กลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ "FAMOUS CHOLLIMA" มีความเชื่อมโยงกับหน่วยงานข่าวกรองและการสงครามไซเบอร์ของเกาหลีเหนือ ซึ่งเป็นหน่วยงานที่มีชื่อเสียงด้านการโจมตีทางไซเบอร์ในระดับสูง กลุ่มนี้ได้ใช้เอกสารปลอมและเอกสารที่ถูกขโมยมา ในการปลอมแปลงข้อมูลตนเอง ทำให้สามารถเข้าทำงานในตำแหน่งด้านเทคโนโลยีสารสนเทศ (IT) ในบริษัทต่างๆ ได้อย่างง่ายดาย

แผนการโจมตีที่ซับซ้อน

เมื่อได้รับการว่าจ้าง แฮกเกอร์เหล่านี้จะทำหน้าที่เพียงเล็กน้อยในงานที่ได้รับมอบหมาย แต่เป้าหมายที่แท้จริงคือการขโมยข้อมูลสำคัญจากองค์กร ไม่ว่าจะเป็นข้อมูลทางธุรกิจ การวิจัยและพัฒนา หรือข้อมูลส่วนบุคคลของลูกค้า จากรายงานของ CrowdStrike พบว่าครึ่งหนึ่งของเคสที่สังเกตได้ มีการใช้ข้อมูลเหล่านี้ในการจารกรรมข้อมูลออกไปจากบริษัท

แฮกเกอร์ยังได้ติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) เช่น RustDesk, AnyDesk และ Google Chrome Remote Desktop ในระบบของบริษัทที่พวกเขาแฝงตัวอยู่ เพื่อรักษาความปลอดภัยในการเข้าถึงข้อมูลและป้องกันการถูกตรวจจับ โดยเครื่องมือเหล่านี้ทำให้พวกเขาสามารถเชื่อมต่อจากระยะไกล และแอบอ้างว่าเป็นพนักงานปกติในระบบเครือข่ายได้

Adam Meyers หัวหน้าฝ่ายปฏิบัติการต่อต้านการจารกรรมของ CrowdStrike ได้ระบุว่า "สิ่งที่น่าตกใจที่สุดเกี่ยวกับการโจมตีนี้คือขนาดและความกว้างขวางของการคุกคามจากภายใน เราได้แจ้งเตือนบริษัทที่เป็นเหยื่อกว่า 100 แห่ง ส่วนใหญ่เป็นบริษัทในสหรัฐฯ ที่ไม่รู้ตัวว่าจ้างแฮกเกอร์จากเกาหลีเหนือ" นอกจากนี้ Meyers ยังเตือนว่า "การโจมตีนี้เป็นสัญญาณเตือนสำหรับบริษัททั่วโลกที่ควรระมัดระวังการจ้างงานจากระยะไกล และควรเพิ่มมาตรการความปลอดภัยในการตรวจสอบพนักงานใหม่"

ผลกระทบและมาตรการตอบโต้

FBI ได้ออกคำเตือนถึงบริษัทอเมริกันเกี่ยวกับการหลีกเลี่ยงการคว่ำบาตรของเกาหลีเหนือ ผ่านการจ้างงานในบริษัทเอกชน โดยกระทรวงยุติธรรมสหรัฐฯ (DoJ) ได้ดำเนินการทางกฎหมายกับบุคคลที่เกี่ยวข้องกับแผนการนี้ รวมถึงผู้ที่มีส่วนเกี่ยวข้องและช่วยเหลือแฮกเกอร์เหล่านี้ในการทำงาน

การเปิดโปงนี้เป็นการส่งสัญญาณเตือนถึงการเปลี่ยนแปลงในรูปแบบของการโจมตีทางไซเบอร์ที่ไม่ใช่เพียงแค่การแฮกระบบจากภายนอกเท่านั้น แต่ยังรวมถึงการแฝงตัวเข้าไปภายในองค์กรอย่างเป็นระบบด้วย นี่เป็นบทเรียนสำคัญสำหรับองค์กรทั่วโลกในการปรับปรุงมาตรการความปลอดภัยไซเบอร์ และระมัดระวังในการจ้างงานพนักงานจากระยะไกลที่อาจจะมีความเสี่ยงสูง

Why it matters

💡

ข่าวนี้เป็นเรื่องสำคัญที่ผู้อ่านควรทราบเพราะเปิดเผยถึงภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่น่ากังวล โดยแฮกเกอร์จากเกาหลีเหนือได้แทรกซึมเข้าสู่บริษัทเทคโนโลยีชั้นนำของสหรัฐฯ ผ่านการปลอมตัวเป็นพนักงาน IT ข้อมูลนี้ชี้ให้เห็นถึงความจำเป็นในการเพิ่มความระมัดระวังในกระบวนการจ้างงานและความปลอดภัยภายในองค์กร ซึ่งเป็นบทเรียนสำคัญสำหรับบริษัทและผู้เชี่ยวชาญด้าน IT ทั่วโลก

ข้อมูลอ้างอิงจาก CrowdStrike 2024 report exposes North Korea’s covert workforce in U.S. tech firms