CZ เตือนบริษัทคริปโตระวังแฮกเกอร์เกาหลีเหนือปลอมเป็นพนักงานไอที หรือแม้กระทั่งติดสินบนพนักงานเพื่อเข้าถึงข้อมูลบริษัทและฉกเงิน หลังกลุ่มนักวิจัยด้านการรักษาความปลอดภัย “SEAL” เผยแพร่โปรไฟล์ปลอม 60 รายการที่เชื่อมโยงไปยังโสมแดง
ฉางเผิง จ้าว หรือ CZ ผู้ก่อตั้งไบแนนซ์ แพลตฟอร์มเทรดคริปโตยักษ์ใหญ่ โพสต์บน X เมื่อวันพฤหัสฯ (18 ก.ย) เตือนว่า แฮกเกอร์เหล่านั้นทั้งฉลาด สร้างสรรค์ และใจเย็นมากขึ้นในการโจมตีบริษัทคริปโต
เล่ห์กลแฮกเกอร์โสมแดง
CZ อธิบาย 4 วิธีหลักที่แฮกเกอร์เกาหลีเหนือใช้โจมตีบริษัทเป้าหมาย ได้แก่ การสมัครงานปลอม โดยแฮกเกอร์จะติดต่อขอสมัครงานที่บริษัทคริปโตเปิดรับ โดยเฉพาะอย่างยิ่งตำแหน่งนักพัฒนา ฝ่ายความปลอดภัย และการเงิน เมื่อได้รับการว่าจ้าง แฮกเกอร์เหล่านี้จะสามารถเข้าถึงระบบของบริษัทจากภายในองค์กร
วิธีที่สอง หลอกว่าการสัมภาษณ์มีปัญหา แฮกเกอร์จะปลอมเป็นนายจ้างสัมภาษณ์งานผู้สมัครที่มาจากบริษัทอื่น แต่ระหว่างวิดีโอคอลล์จะทำเป็นว่า ระบบ Zoom มีปัญหาและส่งลิงก์ไปให้ “อัพเดต” ทว่า ลิงก์เหล่านั้นมีไวรัสที่เปิดช่องให้แฮกเกอร์เข้าสู่คอมพิวเตอร์ของพนักงานผู้นั้น
ต่อมาคือโค้ดประสงค์ร้าย แฮกเกอร์จะมอบโจทย์ให้เป้าหมายสร้างโค้ดและส่ง “โค้ดตัวอย่าง” ที่มีมัลแวร์ไปให้ ซึ่งเมื่อรันโค้ดนี้จะทำให้มัลแวร์กระจายไปยังเครื่องอื่นๆ ในระบบ
สุดท้ายคือการติดสินบน แฮกเกอร์จะจ่ายเงินให้พนักงานและผู้รับช่วงสัญญาเพื่อเข้าถึงข้อมูลสำคัญของบริษัท โดย CZ เล่าว่า เมื่อเร็วๆ นี้มีบริษัทเอาต์ซอร์สอินเดียแห่งหนึ่งถูกแฮกและสูญเงินไปกว่า 400 ล้านดอลลาร์
ฐานข้อมูลพนักงานปลอม
ซีเคียวริตี้ อัลไลแอนซ์ (SEAL) ทีมแฮกเกอร์น้ำดีหรือแฮกเกอร์สายขาว (White hat hacker) ที่นำโดย Samczsun นักวิจัยของ Paradigm ได้ติดตามพนักงานปลอมเหล่านี้และสร้างฐานข้อมูลสาธารณะที่ lazarus.group/team ซึ่งแสดงโปรไฟล์ปลอม 60 รายการที่เหล่าสายลับเกาหลีเหนือใช้
ฐานข้อมูลเหล่านี้รวมถึงชื่อ-ที่อยู่อีเมลปลอม เอกสารยืนยันสัญชาติปลอม รายละเอียดเงินเดือน โปรไฟล์ใน GitHub และแม้แต่ชื่อบริษัทที่ว่าจ้างพนักงานปลอมเหล่านี้
ปีที่ผ่านมา ทีม SEAL ทำการสอบสวนกว่า 900 กรณี ตอกย้ำว่า นี่คือปัญหาใหญ่สำหรับอุตสาหกรรมคริปโต
ยอดขโมยคริปโตทุบสถิติ
จากข้อมูลของ Chainalysis ปีที่แล้วแฮกเกอร์เกาหลีเหนือขโมยคริปโตไปทั้งสิ้น 1,340 ล้านดอลลาร์ จากการโจมตี 47 ครั้ง หรือเท่ากับ 61% ของมูลค่าคริปโตที่ถูกปล้นทั่วโลก 2,200 ล้านดอลลาร์ในปีเดียวกัน ซึ่งเพิ่มขึ้นจากปีก่อนหน้า 21%
ตัวเลขดังกล่าวยังมากกว่ายอดการขโมยคริปโตในปี 2023 เกินสองเท่า โดยตอนนั้นแฮกเกอร์เกาหลีเหนือฉกคริปโตทั้งสิ้น 660 ล้านดอลลาร์ จากการโจมตี 20 ครั้ง
ตัวอย่างการปล้นครั้งใหญ่ที่สุดในปี 2024 รวมถึง DMM Bitcoin ที่สูญบิตคอยน์ 305 ล้านดอลลาร์ในเดือนพฤษภาคม และ WazirX แพลตฟอร์มซื้อขายคริปโตของอินเดีย ที่สูญเงิน 230 ล้านดอลลาร์ในเดือนกรกฎาคม
คอยน์เทเลกราฟรายงานว่า เดือนมิถุนายนสายลับเกาหลีเหนือปลอมเป็นนักพัฒนาอิสระและแทรกซึมเข้าสู่บริษัทคริปโตหลายแห่ง ก่อนขโมยเงินจากสตาร์ทอัพเหล่านั้นไปทั้งสิ้น 900,000 ดอลลาร์
แฮกเกอร์เหล่านี้เป็นส่วนหนึ่งของกลุ่มแฮกเกอร์ที่โยงใยกับรัฐบาลเกาหลีเหนือ ซึ่งรวมถึงกลุ่มลาซารัสที่รู้จักกันอย่างแพร่หลาย เงินที่ปล้นไปเหล่านี้ถูกนำไปอุดหนุนโครงการอาวุธของเปียงยาง รวมทั้งผ่อนคลายผลกระทบจากการถูกนานาชาติแซงก์ชัน
บริษัทคริปโตสู้กลับ
เบรฟนิวคอยน์รายงานว่า แฮกเกอร์ฉลาดขึ้นและใช้เทคโนโลยีใหม่ๆ ได้ดีขึ้น เช่น ใช้ AI สร้างรูปโปรไฟล์ปลอม และแม้กระทั่งใช้เทคโนโลยีดีปซีคระหว่างการสัมภาษณ์ออนไลน์เพื่อตบตาผู้จัดการฝ่ายจัดจ้าง
บริษัทคริปโตหลายแห่งพยายามป้องกันตัวเอง ตัวอย่างเช่น คอยน์เบสที่กำหนดให้พนักงานใหม่ทุกคนต้องเข้ารับการฝึกอบรมด้วยตัวเองที่อเมริกา และพนักงานที่รับผิดชอบระบบที่สำคัญต้องเป็นพลเมืองอเมริกันและแสดงลายนิ้วมือ
CZ เตือนว่า แพลตฟอร์มคริปโตทุกแห่งต้องฝึกพนักงานไม่ให้ดาวน์โหลดไฟล์ที่ไม่รู้จัก รวมทั้งตรวจสอบผู้สมัครงานทั้งหมดอย่างรอบคอบ และย้ำว่า แฮกเกอร์เหล่านี้ “ก้าวหน้า สร้างสรรค์ และอดทน” ทำให้อันตรายมากขึ้น
อุตสาหกรรมคริปโตยังตอบโต้ด้วยมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพยิ่งขึ้น การฝึกอบรมพนักงาน และการร่วมมือกับหน่วยงานบังคับใช้กฎหมาย เช่น หน่วยงานเกี่ยวกับไซเบอร์ของเกาหลีเหนือของสำนักงานสอบสวนกลาง (FBI) เพื่อแชร์ข้อมูลการโจมตี ขณะที่ข้อมูลของ SEAL ที่ตีแผ่โปรไฟล์ปลอมช่วยให้บริษัทคริปโตมีเครื่องมือที่เป็นประโยชน์มากขึ้นในการตรวจสอบว่าที่พนักงาน
