เกาหลีเหนือจ้างแฮ็กเกอร์เพื่อจัดหาเงินทุนให้กับการดำเนินงานของรัฐผ่าน “การโจรกรรม crypto” ตามรายงานของ Mandiant บริษัท รักษาความปลอดภัยทางไซเบอร์
“ปฏิบัติการจารกรรมของประเทศนั้นเชื่อกันว่าสะท้อนถึงข้อกังวลและลำดับความสำคัญของระบอบการปกครองในทันที ซึ่งขณะนี้น่าจะเน้นไปที่การจัดหาทรัพยากรทางการเงินผ่านการปล้นคริปโตโดยพุ่งเป้าไปที่สื่อ, สำนักข่าว, หน่วยงานทางการเมือง, ข้อมูลเกี่ยวกับความสัมพันธ์ระหว่างประเทศและข้อมูลนิวเคลียร์และการขโมยงานวิจัยวัคซีน COVID-19”
รายงานนี้ยังได้มีการให้รายละเอียดเกี่ยวกับการปฏิบัติการทางไซเบอร์ของประเทศเกาหลีเหนือและโครงสร้างภายในของ Reconnaissance General Bureau หรือ RGB ซึ่งเป็นหน่วยข่าวกรองของเกาหลีเหนือที่คล้ายกับ CIA หรือ MI-6 นอกจากนี้ยังให้ความกระจ่างเกี่ยวกับกลุ่มแฮ็กเกอร์ “Lazarus” ซึ่งปฏิบัติการอยู่นอกชายแดนเกาหลีเหนือมาตั้งแต่ปี 2009
ตามรายงาน Lazarus ไม่ใช่กลุ่มแฮ็กเกอร์เพียงกลุ่มเดีย แต่เป็นการเรียกเหมารวมเพื่ออ้างถึงกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจำนวนมากที่ดำเนินงานในสาธารณรัฐประชาธิปไตยเกาหลีเหนือ อย่างไรก็ตาม กลุ่มต่าง ๆ เหล่านี้ทำงานใน “ภาคส่วน” ที่แตกต่างกัน และมีหน้าที่รับผิดชอบเฉพาะทางหนึ่งในความรับผิดชอบคือการระดมทุนผ่านการขโมย cryptocurrency
การจารกรรมทางไซเบอร์ล่าสุด
กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับ Lazarus เพิ่งได้มีการเคลื่อนไหวและกำลังใช้ประโยชน์จากช่องโหว่ของ Google Chrome ตั้งแต่ต้นเดือนมกราคม 2022 จนถึงกลางเดือนกุมภาพันธ์ก่อนที่ช่องโหว่นั้นจะได้รับการแก้ไข
Adam Weidemann บุคลากรจาก Threat Analysis Group หรือ TAG ของ Google กล่าวในบล็อกโพสต์เมื่อวันที่ 24 มีนาคมว่ากลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งถูกติดตามแบบสาธารณะภายใต้ชื่อ “Operation Dream Job” และ “Operation AppleJeus” ได้ใช้ช่องโหว่ “การเรียกใช้โค้ดจากระยะไกลใน Chrome ” ตั้งแต่ต้นเดือนมกราคม 2022 เพื่อดำเนินการแฮ็กและการโจมตีแบบฟิชชิ่งต่าง ๆ
“เราสังเกตการเคลื่อนไหวที่กำหนดเป้าหมายไปยังองค์กรในสหรัฐฯ ซึ่งประกอบไปด้วยสื่อข่าว, ไอที, cryptocurrency และอุตสาหกรรมฟินเทค อย่างไรก็ตามองค์กรและประเทศอื่น ๆ อาจจะตกเป็นเป้าหมายต่อไป”
ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถส่งข้อเสนองานปลอมไปยังผู้ที่ทำงานในอุตสาหกรรมดังกล่าวที่เป็นเป้าหมายได้ซึ่งจะนำพาไปสู่เว็บไซต์หางานที่ได้รับความนิยมในเวอร์ชันปลอมแปลง เช่น Indeed.com ชุดหาช่องโหว่และฟิชชิ่งนั้นคล้ายกับที่ถูกใช้ติดตามใน Operation Dream Job ในขณะเดียวกันกลุ่มแฮ็กเกอร์อีกกลุ่มหนึ่งก็ได้กำหนดเป้าหมายโจมตีไปยังบริษัท crypto และเว็บเทรด crypto โดยใช้ชุดช่องโหว่เดียวกัน
Lazarus เล็งโจมตีไปที่บริษัทให้บริการทางการเงินและคริปโต
กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับ Lazarus มีส่วนเกี่ยวข้องกับการแฮ็กต่างๆ ในบริษัท crypto และธนาคารแบบดั้งเดิมมาหลายปีแล้วการแฮ็กที่พอเป็นที่พูดถึงคือการปล้นทางไซเบอร์ของธนาคารบังคลาเทศในปี 2016 และการโจมตีบริษัทที่เกี่ยวข้องกับคริปโตในปี 2017
กลุ่มแฮ็กเกอร์หลักที่เน้นการโจมตีบริษัทผู้ให้บริการทางการเงินคือ APT38 ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการแฮ็ก SWIFT ที่โด่งดังประกอบด้วยกลุ่มย่อยที่เรียกว่า CryptoCore หรือ “Open Password”
การแฮ็กเหล่านี้ส่วนใหญ่ประสบความสำเร็จ และคาดว่าแฮ็กเกอร์ได้กวาดเงินไปกว่า 400 ล้านดอลลาร์ในการส่งมอบให้เกาหลีเหนือการสืบสวนของสหประชาชาตินั้นได้ข้อสรุปว่าเงินที่ได้จากการโจรกรรมทางไซเบอร์เหล่านี้ถูกใช้เพื่อเป็นเงินทุนสนับสนุนโครงการขีปนาวุธของประเทศเกาหลีเหนือ