ระวัง! เจ้าหน้าที่ไอทีของเกาหลีเหนือใช้ประโยชน์จากการทำงานระยะไกลเพื่อแทรกซึมเข้าสู่องค์กรระดับโลก

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์

แปลเป็น:

ภัยคุกคามจากการแทรกซึมทางไซเบอร์ของเกาหลีเหนือไม่ใช่แค่ปัญหาของอเมริกาอีกต่อไปแล้ว แต่กลายเป็นวิกฤตระดับโลกไปแล้ว จากผลการค้นพบใหม่จาก Threat Intelligence Group (GTIG) ของ Google พบว่าเจ้าหน้าที่จากสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) กำลังขยายฐานปฏิบัติการทางไซเบอร์ไปทั่วทวีปยุโรปและทั่วโลก โดยใช้ประโยชน์จากแพลตฟอร์มการทำงานระยะไกล การระบุตัวตนปลอม และกลวิธีที่ก้าวร้าวมากขึ้น เช่น การกรรโชก สิ่งที่เริ่มต้นจากการปฏิบัติการลับได้พัฒนาเป็นเครือข่ายระหว่างประเทศที่กว้างขวางซึ่งออกแบบมาเพื่อขโมยเงินและข้อมูลโดยไม่ให้ใครรู้

สารบัญ

การบุกรุกอย่างเงียบ ๆ ของกำลังแรงงานทั่วโลก

เจ้าหน้าที่ฝ่ายไอทีของเกาหลีเหนือกำลังใช้ประโยชน์จากความต้องการพนักงานเทคโนโลยีระยะไกลจากทั่วโลก โดยแอบอ้างว่าตนเองเป็นฟรีแลนซ์ที่มีทักษะจากประเทศต่างๆ เช่น ญี่ปุ่น มาเลเซีย ยูเครน เวียดนาม และแม้แต่สหรัฐอเมริกา บุคคลเหล่านี้จึงได้รับสัญญาที่ถูกต้องตามกฎหมายผ่านแพลตฟอร์มต่างๆ เช่น Upwork, Freelancer และ Telegram

เมื่อเข้าไปแล้ว พวกเขาสามารถเข้าถึงระบบที่ละเอียดอ่อนและบางครั้งยังจัดการโครงสร้างพื้นฐานที่สำคัญ เช่น ระบบจัดการเนื้อหา (CMS) เว็บบ็อต และแอปพลิเคชันบล็อคเชนได้อีกด้วย เจ้าหน้าที่เหล่านี้มักปฏิบัติงานภายใต้ตัวตนหลายตัวตน บางครั้งอาจมีมากถึงสิบกว่าตัวตนต่อคน โดยแต่ละตัวตนทำหน้าที่เป็นตัวอ้างอิงให้กับตัวตนอื่นๆ ในกรณีหนึ่ง พนักงานที่เกี่ยวข้องกับเกาหลีเหนือเพียงคนเดียวจัดการตัวตนที่แตกต่างกัน 12 ตัวตนทั่วสหรัฐอเมริกาและยุโรป โดยแต่ละตัวตนได้รับการปรับแต่งเพื่อหลอกลวงนายจ้างและแพลตฟอร์มการจ้างงาน

ยุโรปในจุดตัด

แม้ว่าสหรัฐอเมริกาจะเป็นเป้าหมายหลัก แต่การเข้มงวดในการตรวจสอบทางกฎหมายและมาตรการยืนยันสิทธิในการทำงานที่เข้มงวดยิ่งขึ้นกำลังผลักดันให้เจ้าหน้าที่ของเกาหลีเหนือขยายกิจการเข้าสู่ตลาดในยุโรปมากขึ้น เยอรมนี โปรตุเกส และสหราชอาณาจักร ต่างรายงานกรณีการแทรกซึม โดยคนงานบางส่วนมีส่วนร่วมในโครงการพัฒนา AI และบูรณาการบล็อคเชน ซึ่งเป็นสาขาที่มักให้สิทธิ์การเข้าถึงระบบในวงกว้างและจัดการฐานรหัสที่เป็นกรรมสิทธิ์หรือละเอียดอ่อน

ในสหราชอาณาจักร ผู้บุกรุกยังถูกเชื่อมโยงกับการใช้โครงสร้างพื้นฐานขององค์กรในทางที่ผิด เช่น การใช้แล็ปท็อปที่ตั้งใจจะใช้ในสำนักงานในสหรัฐอเมริกาจากสถานที่ต่างๆ ในลอนดอน การดำเนินการเหล่านี้มักได้รับการสนับสนุนจากผู้ช่วยเหลือในท้องถิ่นหรือระดับนานาชาติที่ช่วยปกปิดตัวตนและแหล่งที่มาของเจ้าหน้าที่ไอที GTIG สังเกตเห็นการค้นพบรายละเอียดการติดต่อของนายหน้าที่ซื้อขายหนังสือเดินทางปลอม ซึ่งเน้นย้ำถึงความมีทรัพยากรและการจัดการที่ดีของแผนการนี้

การเพิ่มขึ้นของการกรรโชก: กลยุทธ์ใหม่ที่น่าตกใจ

ตั้งแต่ปลายเดือนตุลาคม 2024 เป็นต้นมา ความเสี่ยงระดับใหม่ได้เกิดขึ้น เมื่อหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เริ่มดำเนินการปราบปราม ซึ่งทำให้การก่อกวนและการฟ้องร้องมีมากขึ้น พนักงานบางส่วนที่เชื่อมโยงกับเกาหลีเหนือจึงหันไปใช้การรีดไถเพื่อหารายได้เสริม กลวิธีดังกล่าวสร้างความหวาดกลัว เมื่อถูกเลิกจ้างหรือตรวจจับการตรวจพบ เจ้าหน้าที่จะขู่ว่าจะรั่วไหลข้อมูลที่ละเอียดอ่อน รวมถึงโค้ดต้นฉบับและข้อมูลที่สำคัญต่อธุรกิจ

นักวิจัยของ GTIG เชื่อว่าแรงกดดันที่เจ้าหน้าที่เหล่านี้เผชิญกำลังบังคับให้เกิดการเปลี่ยนแปลงพฤติกรรม จากการขโมยข้อมูลอย่างลับๆ ไปสู่การบังคับทางการเงินที่ก้าวร้าว จุดเปลี่ยนนี้ถือเป็นการยกระดับการจารกรรมทางไซเบอร์และอาชญากรรมดิจิทัลของเกาหลีเหนืออย่างน่าวิตก

การกำหนดเป้าหมายสถานที่ทำงาน BYOD

กลยุทธ์ของเกาหลีเหนือยังปรับตัวให้เข้ากับความเป็นจริงของการทำงานทางไกล GTIG รายงานว่า เจ้าหน้าที่เกาหลีเหนือ กำลังโจมตีบริษัทที่มีนโยบายนำอุปกรณ์ส่วนตัวมาเอง (Bring Your Own Device หรือ BYOD) มากขึ้น องค์กรเหล่านี้พยายามลดต้นทุนด้วยการไม่แจกแล็ปท็อปให้กับองค์กร ทำให้ฟรีแลนซ์ที่ประสงค์ร้ายทำงานได้ง่ายขึ้นโดยที่ไม่มีใครดูแล

ช่องโหว่นี้มีความซับซ้อนมากขึ้นจากการใช้สกุลเงินดิจิทัลและแพลตฟอร์มการชำระเงินดิจิทัล เช่น Payoneer ซึ่งช่วยปกปิดแหล่งที่มาและปลายทางของเงิน เป็นระบบที่สร้างขึ้นอย่างรอบคอบเพื่อใช้ประโยชน์จากจุดอ่อนที่สุดในการป้องกันความปลอดภัยทางไซเบอร์ระดับโลก ได้แก่ ความไว้วางใจของมนุษย์ การเข้าถึงจากระยะไกล และระบบกระจายอำนาจ

ระบบนิเวศโลกแห่งความหลอกลวง

ขอบเขตการดำเนินงานของเกาหลีเหนือชี้ให้เห็นถึงโครงสร้างพื้นฐานระดับโลกที่เติบโตอย่างรวดเร็ว ซึ่งประกอบด้วยเครือข่ายสนับสนุนหลายชั้น นายหน้าปลอมแปลงตัวตน และระบบฟอกเงิน ผลการค้นพบล่าสุดของ GTIG เน้นย้ำว่าผู้กระทำเหล่านี้มีความคล่องตัวและอันตรายเพียงใด

GTIG กล่าวว่า “เพื่อตอบสนองต่อความตระหนักรู้ที่เพิ่มขึ้นเกี่ยวกับภัยคุกคามภายในสหรัฐอเมริกา [พนักงานไอทีของเกาหลีเหนือ] จึงได้สร้างระบบนิเวศระดับโลกของบุคคลหลอกลวงเพื่อเพิ่มความคล่องตัวในการปฏิบัติงาน ความสามารถในการย้ายการดำเนินงานข้ามพรมแดนอย่างรวดเร็วในขณะที่รักษากระแสรายได้ที่มั่นคงถือเป็นปัญหาสำคัญสำหรับองค์กรต่างๆ ทั่วโลก

องค์กรสามารถทำอะไรได้บ้าง?

เพิ่มความเข้มงวดในการตรวจสอบตัวตน : นำกระบวนการตรวจสอบหลายขั้นตอนที่เข้มงวดมาใช้ในการจ้างพนักงานระยะไกล

จำกัดนโยบาย BYOD : จัดเตรียมอุปกรณ์องค์กรที่ปลอดภัยและใช้การตรวจสอบจุดสิ้นสุด

ตรวจสอบช่องทางการชำระเงิน : ระมัดระวังคำขอชำระเงินผ่านสกุลเงินดิจิทัลหรือกระเป๋าเงินดิจิทัลระหว่างประเทศ

ตรวจสอบสิทธิ์การเข้าถึงรหัส : รับรองว่าการเข้าถึงนั้นเป็นไปตามความจำเป็นด้วยการควบคุมเวอร์ชันและการบันทึกกิจกรรมที่แข็งแกร่ง

ให้ความรู้แก่ทีมงาน : ฝึกอบรมฝ่ายทรัพยากรบุคคล ฝ่ายไอที และฝ่ายจ้างงานให้สามารถจดจำสัญญาณเตือนในโปรไฟล์ของฟรีแลนซ์และข้อมูลอ้างอิงงาน

ความคิดสุดท้าย

การขยายตัวของการโจมตีทาง IT ของเกาหลีเหนือทั่วโลกไม่ได้เป็นเพียงปัญหาความปลอดภัยทางไซเบอร์เท่านั้น แต่ยังเป็นภัยคุกคามต่อความมั่นคงของชาติและเศรษฐกิจอีกด้วย เมื่อกลยุทธ์ของบริษัทต่างๆ มีความซับซ้อนมากขึ้น บริษัทต่างๆ ก็ต้องปรับตัวด้วยการป้องกันที่ก้าวหน้าไม่แพ้กัน ยุคของการจ้างฟรีแลนซ์จากทั่วโลกโดยไม่ตรวจสอบประวัติอย่างละเอียดถี่ถ้วนได้สิ้นสุดลงแล้ว ต้นทุนของการไม่ลงมือทำอะไรเลยอาจเป็นการขโมยหรือทำให้สินทรัพย์ดิจิทัลที่สำคัญที่สุดของคุณกลายเป็นอาวุธ

ค้นหา

เปลี่ยนภูมิภาค