UNC4899 แคมเปญบุกรุกระบบคลาวด์

การโจมตีทางไซเบอร์ที่ซับซ้อนในปี 2025 ถูกเชื่อมโยงกับกลุ่มผู้ก่อภัยคุกคามจากเกาหลีเหนือ UNC4899 ซึ่งเป็นกลุ่มที่ต้องสงสัยว่าอยู่เบื้องหลังการโจมตีองค์กรด้านสกุลเงินดิจิทัลขนาดใหญ่ ส่งผลให้มีการขโมยสินทรัพย์ดิจิทัลมูลค่าหลายล้านดอลลาร์ การโจมตีครั้งนี้ถูกระบุว่าเป็นฝีมือของกลุ่มผู้ก่อการร้ายที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือด้วยความมั่นใจในระดับปานกลาง ซึ่งกลุ่มนี้ยังถูกติดตามภายใต้ชื่ออื่นๆ อีกหลายชื่อ เช่น Jade Sleet, PUKCHONG, Slow Pisces และ TraderTraitor

เหตุการณ์นี้โดดเด่นเนื่องจากวิธีการโจมตีที่มีหลายชั้น ผู้โจมตีผสมผสานการใช้เทคนิคทางสังคมเข้ากับการใช้ประโยชน์จากกลไกการถ่ายโอนข้อมูลแบบบุคคลต่อบุคคลจากองค์กร และต่อมาได้เปลี่ยนเป้าหมายไปยังโครงสร้างพื้นฐานคลาวด์ขององค์กร เมื่อเข้าไปในสภาพแวดล้อมคลาวด์ได้แล้ว เวิร์กโฟลว์ DevOps ที่ถูกต้องตามกฎหมายก็ถูกนำไปใช้ในทางที่ผิดเพื่อขโมยข้อมูลประจำตัว หลุดออกจากขอบเขตของคอนเทนเนอร์ และจัดการฐานข้อมูล Cloud SQL เพื่ออำนวยความสะดวกในการโจรกรรม

จากอุปกรณ์ส่วนตัวสู่เครือข่ายองค์กร: การรั่วไหลครั้งแรก

การโจมตีเริ่มต้นด้วยการใช้กลวิธีทางสังคมที่วางแผนมาอย่างรอบคอบ นักพัฒนาซอฟต์แวร์ที่ทำงานอยู่ในองค์กรเป้าหมายถูกหลอกให้ดาวน์โหลดไฟล์เก็บถาวรที่นำเสนอว่าเป็นส่วนหนึ่งของโครงการความร่วมมือแบบโอเพนซอร์สที่ถูกต้องตามกฎหมาย หลังจากดาวน์โหลดไฟล์ไปยังอุปกรณ์ส่วนตัวแล้ว นักพัฒนาซอฟต์แวร์ได้ถ่ายโอนไฟล์นั้นไปยังเวิร์กสเตชันของบริษัทโดยใช้ AirDrop ซึ่งเป็นการสร้างช่องโหว่ด้านความปลอดภัยระหว่างสภาพแวดล้อมส่วนตัวและองค์กรโดยไม่ตั้งใจ

การโต้ตอบกับไฟล์เก็บถาวรเกิดขึ้นผ่านสภาพแวดล้อมการพัฒนาแบบบูรณาการ (IDE) ที่ใช้ AI ช่วย ในระหว่างกระบวนการนี้ โค้ด Python ที่เป็นอันตรายซึ่งฝังอยู่ในไฟล์เก็บถาวรได้ถูกเรียกใช้งาน โค้ดดังกล่าวได้ติดตั้งไบนารีที่ปลอมตัวเป็นเครื่องมือบรรทัดคำสั่งของ Kubernetes ทำให้ดูเหมือนถูกต้องตามกฎหมายในขณะที่กำลังดำเนินการที่เป็นอันตราย

จากนั้นไฟล์ไบนารีได้ติดต่อกับโดเมนที่ผู้โจมตีควบคุมอยู่ และทำหน้าที่เป็นช่องทางลับภายในระบบขององค์กร ช่องทางนี้ทำให้ผู้โจมตีสามารถแทรกซึมจากเวิร์กสเตชันที่ถูกบุกรุกไปยังสภาพแวดล้อม Google Cloud ขององค์กรได้ โดยน่าจะใช้เซสชันการตรวจสอบสิทธิ์ที่ใช้งานอยู่และข้อมูลประจำตัวที่เข้าถึงได้

เมื่อแทรกซึมเข้าไปในโครงสร้างพื้นฐานคลาวด์ได้แล้ว ผู้โจมตีก็เริ่มขั้นตอนการสอดแนมเพื่อระบุบริการ โครงการ และจุดเข้าถึงต่างๆ ที่สามารถนำมาใช้เพื่อเจาะระบบต่อไปได้

การใช้ประโยชน์จากสภาพแวดล้อมคลาวด์และการยกระดับสิทธิ์

ในขั้นตอนการสอดแนม ผู้โจมตีได้ระบุโฮสต์ป้องกัน (bastion host) ภายในสภาพแวดล้อมคลาวด์ โดยการแก้ไขคุณลักษณะนโยบายการตรวจสอบสิทธิ์แบบหลายปัจจัยของโฮสต์ ทำให้สามารถเข้าถึงระบบโดยไม่ได้รับอนุญาต การเข้าถึงนี้ช่วยให้สามารถสอดแนมในเชิงลึกได้มากขึ้น รวมถึงการเข้าถึงพอด (pod) เฉพาะภายในสภาพแวดล้อม Kubernetes

จากนั้นผู้โจมตีได้เปลี่ยนไปใช้กลยุทธ์ "อยู่นอกระบบคลาวด์" โดยอาศัยเครื่องมือและการกำหนดค่าคลาวด์ที่ถูกต้องตามกฎหมายเป็นหลัก แทนที่จะใช้มัลแวร์จากภายนอก การรักษาการเข้าถึงอย่างต่อเนื่องทำได้โดยการเปลี่ยนแปลงการกำหนดค่าการปรับใช้ Kubernetes เพื่อให้คำสั่ง bash ที่เป็นอันตรายทำงานโดยอัตโนมัติทุกครั้งที่มีการสร้าง Pod ใหม่ คำสั่งนี้จะดึงและติดตั้งแบ็กดอร์ ทำให้มั่นใจได้ว่าจะสามารถเข้าถึงได้อย่างต่อเนื่อง

การกระทำสำคัญที่ผู้โจมตีได้กระทำระหว่างการโจมตีประกอบด้วย:

• ปรับเปลี่ยนทรัพยากร Kubernetes ที่เชื่อมโยงกับแพลตฟอร์ม CI/CD ขององค์กร เพื่อแทรกคำสั่งที่เปิดเผยโทเค็นบัญชีบริการในบันทึกระบบ
• การได้รับโทเค็นที่เชื่อมโยงกับบัญชีบริการ CI/CD ที่มีสิทธิ์พิเศษสูง ช่วยให้สามารถยกระดับสิทธิ์และเคลื่อนย้ายไปยังพ็อดที่รับผิดชอบนโยบายเครือข่ายและการกระจายโหลดได้
• ใช้โทเค็นที่ถูกขโมยไปเพื่อยืนยันตัวตนในการเข้าถึงพ็อดโครงสร้างพื้นฐานที่สำคัญซึ่งทำงานในโหมดพิเศษ หลบหนีออกจากสภาพแวดล้อมคอนเทนเนอร์ และติดตั้งแบ็กดอร์ถาวร
• ดำเนินการสำรวจเพิ่มเติมก่อนที่จะกำหนดเป้าหมายไปยังระบบงานที่รับผิดชอบในการจัดการข้อมูลลูกค้า ซึ่งรวมถึงข้อมูลประจำตัวผู้ใช้ รายละเอียดความปลอดภัยของบัญชี และข้อมูลกระเป๋าเงินดิจิทัล
• ดึงข้อมูลรับรองฐานข้อมูลแบบคงที่ซึ่งถูกจัดเก็บอย่างไม่ถูกต้องภายในตัวแปรสภาพแวดล้อมของ Pod
• โดยใช้ข้อมูลประจำตัวเหล่านั้นผ่าน Cloud SQL Auth Proxy เพื่อเข้าถึงฐานข้อมูลการผลิตและเรียกใช้คำสั่ง SQL ที่แก้ไขบัญชีผู้ใช้ รวมถึงการรีเซ็ตรหัสผ่านและการอัปเดตข้อมูลเริ่มต้นการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับบัญชีที่มีมูลค่าสูงหลายบัญชี

การกระทำเหล่านี้ส่งผลให้ผู้โจมตีสามารถควบคุมบัญชีที่ถูกบุกรุกและถอนเงินคริปโตเคอร์เรนซีได้หลายล้านดอลลาร์ในที่สุด

ผลกระทบด้านความปลอดภัยของการถ่ายโอนข้อมูลข้ามสภาพแวดล้อม

เหตุการณ์นี้เน้นให้เห็นถึงจุดอ่อนด้านความปลอดภัยที่สำคัญหลายประการซึ่งพบได้ทั่วไปในสภาพแวดล้อมคลาวด์สมัยใหม่ กลไกการถ่ายโอนข้อมูลแบบบุคคลต่อบุคคล เช่น AirDrop อาจหลีกเลี่ยงการควบคุมความปลอดภัยขององค์กรโดยไม่ตั้งใจ ทำให้มัลแวร์ที่เข้ามาในอุปกรณ์ส่วนบุคคลสามารถเข้าถึงระบบขององค์กรได้

ปัจจัยเสี่ยงเพิ่มเติม ได้แก่ การใช้โหมดคอนเทนเนอร์ที่มีสิทธิ์พิเศษ การแบ่งส่วนระหว่างเวิร์กโหลดที่ไม่เพียงพอ และการจัดเก็บข้อมูลประจำตัวที่ละเอียดอ่อนอย่างไม่ปลอดภัยในตัวแปรสภาพแวดล้อม จุดอ่อนเหล่านี้แต่ละข้อจะเพิ่มขอบเขตความเสียหายของการบุกรุกเมื่อผู้โจมตีสามารถเข้าสู่ระบบได้ตั้งแต่เริ่มต้น

กลยุทธ์การป้องกันเพื่อลดผลกระทบจากภัยคุกคามที่คล้ายคลึงกัน

องค์กรที่ดำเนินงานด้านโครงสร้างพื้นฐานบนคลาวด์ โดยเฉพาะอย่างยิ่งองค์กรที่จัดการสินทรัพย์ทางการเงินหรือสกุลเงินดิจิทัล ต้องใช้มาตรการควบคุมเชิงป้องกันหลายชั้นที่ครอบคลุมทั้งความเสี่ยงด้านอุปกรณ์ปลายทางและความเสี่ยงด้านคลาวด์

มาตรการบรรเทาผลกระทบที่มีประสิทธิภาพ ได้แก่:

• การนำระบบควบคุมการเข้าถึงที่คำนึงถึงบริบทและการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ป้องกันการหลอกลวงมาใช้
• เพื่อให้มั่นใจว่ามีการใช้งานเฉพาะอิมเมจคอนเทนเนอร์ที่เชื่อถือได้และผ่านการตรวจสอบแล้วภายในสภาพแวดล้อมคลาวด์
• แยกโหนดที่ได้รับผลกระทบและป้องกันไม่ให้โหนดเหล่านั้นสร้างการเชื่อมต่อกับโฮสต์ภายนอก
• ตรวจสอบสภาพแวดล้อมของคอนเทนเนอร์เพื่อตรวจจับกระบวนการที่ไม่คาดคิดหรือพฤติกรรมการทำงานที่ผิดปกติ
• นำแนวทางการจัดการความลับที่มีประสิทธิภาพมาใช้เพื่อขจัดความจำเป็นในการจัดเก็บข้อมูลประจำตัวในตัวแปรสภาพแวดล้อม
• บังคับใช้นโยบายปลายทางที่ปิดใช้งานหรือจำกัดการถ่ายโอนไฟล์แบบ Peer-to-Peer เช่น AirDrop หรือ Bluetooth และป้องกันการติดตั้งสื่อภายนอกที่ไม่ได้รับการจัดการบนอุปกรณ์ขององค์กร

กลยุทธ์การป้องกันเชิงลึกที่ครอบคลุม ซึ่งตรวจสอบตัวตน จำกัดเส้นทางการถ่ายโอนข้อมูลที่ไม่สามารถควบคุมได้ และบังคับใช้การแยกการทำงานอย่างเข้มงวดภายในสภาพแวดล้อมคลาวด์ สามารถลดผลกระทบของแคมเปญการบุกรุกขั้นสูงที่คล้ายคลึงกันได้อย่างมาก