กลุ่มแฮกเกอร์เกาหลีเหนือปฏิบัติการขโมยข้อมูลจากนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์

กลุ่มนักวิเคราะห์ภัยคุกคามทางไซเบอร์บริกษัทกูเกิล (Google's Threat Analysis Group - TAG) เปิดเผยว่ากลุ่มแฮกเกอร์เกาหลีเหนือปฏิบัติการจารกรรมข้อมูลจากนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์โดยจัดตั้งบริษัทปลอม เผยแพร่เว็บไซต์ที่แฝงมัลแวร์ และใช้สื่อสังคมออนไลน์ชักชวนนักวิจัยฯ มาปฏิบัติงานด้านไซเบอร์ร่วมกัน

เมื่อ ๑๗ มี.ค.๖๔ กลุ่มแฮกเกอร์เกาหลีเหนือจัดตั้งบริษัท SecuriElite จำกัด อำพรางเป็นบริษัทให้บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ทดสอบเจาะระบบ ตรวจประเมินมาตรการรักษาความปลอดภัยขององค์กร โดยมีเว็บไซต์บริษัทคือ www.securielite.com และอ้างว่ามีสำนักงานตั้งอยู่ในตุรกี

กลุ่มแฮกเกอร์สร้างบัญชีสื่อสังคมออนไลน์ อาทิ Linkedin, Keybase และ Twitter จำนวนหลายบัญชีเพื่ออำพรางเป็นกลุ่มผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เผยแพร่บทความด้านการรักษาความมั่นคงปลอดภัยไซเบอร์และเทคนิคการเจาะระบบคอมพิวเตอร์ เพื่อสร้างความน่าเชื่อถือต่อกลุ่มนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์

รวมทั้งปลอมแปลงบัญชี Linkedin หลอกลวงและชักชวนให้นักวิจัยฯ มาร่วมพัฒนาโปรแกรมป้องกันมัลแวร์ ซึ่งเมื่อเหยื่อเกิดความสนใจ กลุ่มแฮกเกอร์จะส่งซอร์สโค้ดโปรแกรมเจาะช่องโหว่ที่มีมัลแวร์แฝงไปกับซอร์สโค้ดด้วย

กลุ่มแฮกเกอร์ยังหลอกให้เหยื่อเข้าเว็บไซต์เผยแพร่เทคนิคการเจาะช่องโหว่ซึ่งแฝงด้วยชุดคำสั่งเจาะช่องโหว่บนเว็บเบราวเซอร์ แม้เหยื่อใช้ระบบปฏิบัติการและเว็บเบราวเซอร์รุ่นล่าสุดแล้วก็ถูกเจาะระบบคอมพิวเตอร์ได้ 

ตัวอย่างเว็บหลอกลวงของกลุ่มแฮกเกอร์เกาหลีเหนือ

บริษัท กูเกิล จำกัด จึงนำ URL เว็บไซต์ www.securielite.com ขึ้นทะเบียนบัญชีดำ เพื่อป้องกันผู้ใช้งานเว็บเบราวเซอร์ Google Chrome ตกเป็นเหยื่อปฏิบัติการจารกรรมข้อมูลจากกลุ่มแฮกเกอร์เกาหลีเหนือ

ปฏิบัติการดังกล่าวเกี่ยวข้องกับกลุ่มแฮกเกอร์ Zinc ที่มีความเชื่อมโยงกับเกาหลีเหนือและกลุ่ม Lazarus ซึ่งรัฐบาลเกาหลีเหนือให้การสนับสนุน ก่อนหน้านี้เมื่อ ม.ค.๖๔ กลุ่มแฮกเกอร์เกาหลีเหนือได้จัดกิจกรรมหลอกลวงและขโมยข้อมูลนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ผ่านเว็บไซต์และสื่อสังคมออนไลน์มาแล้ว โดยใช้เทคนิคการหลองลวงเหยื่อในลักษณะเดียวกัน