แฮกเกอร์เกาหลีเหนือ ใช้กลวิธี AI ขั้นสูงและมัลแวร์ ปลอมตัวเป็นผู้เชี่ยวชาญด้านเทคโนโลยีเพื่อขโมยคริปโตมูลค่าหลายพันล้านดอลลาร์
แฮกเกอร์เกาหลีเหนือได้ขโมยคริปโตเคอร์เรนซีและข้อมูลความลับของบริษัทที่สำคัญมูลค่าหลายพันล้านดอลลาร์ โดยปลอมตัวเป็นนักลงทุน ร่วมทุนผู้สรรหาบุคลากร และพนักงานไอทีระยะไกล
โดยนักวิจัยเปิดเผยข้อมูลนี้ในงาน Cyberwarcon ซึ่งเป็นการประชุมด้านความปลอดภัยทางไซเบอร์ประจำปีเมื่อวันที่ 29 พฤศจิกายน อ้างอิงตามที่เจมส์ อิลเลียต นักวิจัยด้านความปลอดภัยของ Microsoft กล่าว แฮกเกอร์เกาหลีเหนือได้แทรกซึมองค์กรทั่วโลกหลายร้อยแห่งโดยสร้างตัวตนปลอม ซึ่งการโจมตีของกลุ่มแฮกเกอร์เหล่านี้จะใช้กลยุทธ์ตั้งแต่โปรไฟล์ที่สร้างโดย AI ขั้นสูง ไปจนถึงแคมเปญการสรรหาที่มีมัลแวร์ ขณะที่วัตถุประสงค์ปลายทางของแฮกเกอร์เหล่านี้นั้น สุดท้ายได้ส่งทรัพย์สินที่ถูกขโมยไปยังโครงการสนับสนุนการพัฒนาอาวุธนิวเคลียร์ของประเทศเกาหลีเหนือ โดยหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ
อิลเลียต กล่าวว่า “พนักงานไอทีเกาหลีเหนือเป็นภัยคุกคามสามประการ”
นอกจากนี้ เขาเน้นย้ำถึงความสามารถในการปิดบังอำพราง ด้วยการปกปิดที่มาของการหารายได้ที่ถูกต้องตามกฎหมาย พร้อมทั้งขโมยความลับของบริษัท และขู่กรรโชกบริษัทโดยขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยในโลกของการทำงานระยะไกลในปัจจุบัน
อีกขั้นของกลยุทธ์ที่พัฒนาทางไซเบอร์
แฮกเกอร์ใช้แผนการต่างๆ เพื่อกำหนดเป้าหมายบริษัทโดยกลุ่มหนึ่งที่ Microsoft เรียกว่า “Ruby Sleet” มุ่งเน้นไปที่บริษัทด้านการบินและอวกาศและการป้องกันประเทศ ขโมยข้อมูลเพื่อพัฒนาเทคโนโลยีอาวุธของเกาหลีเหนือ
อีกกลุ่มหนึ่งคือ “Sapphire Sleet” ปลอมตัวเป็นผู้สรรหาบุคลากรและนักลงทุนร่วมทุน หลอกลวงเหยื่อให้ดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นเครื่องมือหรือการประเมิน
ในแคมเปญหนึ่ง แฮกเกอร์ขโมยคริปโตเคอร์เรนซีมูลค่า 10 ล้านดอลลาร์ในช่วง 6 เดือนโดยกำหนดเป้าหมายไปที่บุคคลและบริษัทด้วยการตั้งค่าการประชุมเสมือนปลอม แฮกเกอร์จัดการปัญหาทางเทคนิคระหว่างการประชุมเพื่อบังคับให้เหยื่อติดตั้งมัลแวร์
อย่างไรก็ดี ภัยคุกคามที่คงอยู่มากที่สุดมาจากผู้ปฏิบัติการเกาหลีเหนือที่ปลอมตัวเป็นพนักงานระยะไกล ผู้ไม่หวังดีเหล่านี้สร้างตัวตนออนไลน์ที่น่าเชื่อถือโดยใช้โปรไฟล์ LinkedIn ที่เก็บ GitHub และ deepfakes ที่สร้างโดย AI เพื่อใช้ประโยชน์จากการเปลี่ยนแปลงทั่วโลกไปสู่การทำงานระยะไกล
ต่อมาเมื่อได้รับการว่าจ้างแล้ว ผู้ปฏิบัติการเหล่านี้จะส่งต่อแล็ปท็อปที่ออกโดยบริษัทไปยังผู้ช่วยในสหรัฐฯ ซึ่งตั้งค่าฟาร์มอุปกรณ์ที่ติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลไว้ล่วงหน้า สิ่งนี้ทำให้ตัวแทนเกาหลีเหนือสามารถดำเนินการจากสถานที่ต่างๆ เช่น รัสเซียและจีน
อิลเลียต เปิดเผยว่า Microsoft ค้นพบแผนการดำเนินงานโดยละเอียด รวมถึงประวัติย่อปลอมและเอกสารประจำตัวจากที่เก็บข้อมูลที่กำหนดค่าผิดพลาดซึ่งเป็นของผู้ปฏิบัติการเกาหลีเหนือ ซึ่งอิลเลียต กล่าวว่า “มันเป็นคู่มือที่ถูกติวเข้มมาทั้งหมดอย่างเป็นระบบและเข้าใจระเบียบขั้นตอนวิธีปฏิบัติเป็นอย่างดี”
เรียกร้องให้ทุกประเทศเพิ่มความระมัดระวังมากขึ้น
แม้ว่าจะมีการออกมาตรการคว่ำบาตรและคำเตือนต่อสาธารณะ แต่กลุ่มแฮ็กเกอร์เกาหลีเหนือยังคงหลีกเลี่ยงผลที่ตามมา โดยเมื่อต้นปีนี้ อัยการสหรัฐฯ ได้ตั้งข้อหาบุคคลที่เกี่ยวข้องกับฟาร์มแล็ปท็อป และ FBI เตือนบริษัทต่างๆ เกี่ยวกับการใช้ deepfakes ที่สร้างโดย AI ในการหลอกลวงการจ้างงาน
นอกจากนี้นักวิจัยเน้นย้ำถึงความจำเป็นในการตรวจสอบพนักงานอย่างเข้มงวด ซึ่งอิลเลียต ชี้ให้เห็นถึงสัญญาณเตือนทั่วไป รวมถึงข้อผิดพลาดทางภาษาและความไม่สอดคล้องกันในข้อมูลทางภูมิศาสตร์ ซึ่งสามารถช่วยให้บริษัทต่างๆ ระบุผู้สมัครที่น่าสงสัยได้
“นี่ไม่ใช่ปัญหาชั่วคราว เพราะแคมเปญทางไซเบอร์ของเกาหลีเหนือเป็นภัยคุกคามระยะยาวที่ต้องการการเฝ้าระวังอย่างต่อเนื่อง”
ทั้งนี้ ด้วยการหลอกลวงทางไซเบอร์ที่พัฒนาอย่างรวดเร็ว ส่งผลกระทบต่อชุมชนธุรกิจทั่วโลกจึงอยู่ภายใต้แรงกดดันที่เพิ่มขึ้นในการปรับตัวและเสริมสร้างการป้องกันภัยคุกคามที่ซับซ้อนเหล่านี้