สำนักงานตำรวจแห่งชาติเกาหลีใต้ออกคำเตือนเร่งด่วนเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่มุ่งเป้าไปที่หน่วยงานในอุตสาหกรรมการป้องกันประเทศเพื่อขโมยข้อมูลด้านเทคโนโลยีที่มีความสำคัญ
ตำรวจพบการโจมตีบริษัทในอุตสาหกรรมการป้องกันประเทศได้สำเร็จหลายครั้งในเกาหลีใต้ ซึ่งเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ เช่น Lazarus, Andariel และ Kimsuky ซึ่งทั้งหมดนี้เป็นส่วนหนึ่งของปฏิบัติการจากเกาหลีเหนือ
ตามประกาศดังกล่าว ผู้โจมตีเจาะระบบองค์กรโดยใช้ประโยชน์จากช่องโหว่ หรือสภาพแวดล้อมของเหยื่อเพื่อติดตั้งมัลแวร์สำหรับขโมยข้อมูล
สำนักงานตำรวจแห่งชาติ และฝ่ายบริหารโครงการกลาโหม ได้ทำการตรวจสอบเป็นพิเศษเมื่อต้นปีนี้ ระหว่างวันที่ 15 มกราคม ถึง 16 กุมภาพันธ์ และดำเนินมาตรการป้องกันเพื่อรักษาความปลอดภัยเครือข่ายที่สำคัญ หน่วยปฏิบัติการพิเศษนี้พบบริษัทหลายแห่งที่ถูกโจมตีมาตั้งแต่ปลายปี 2022 แต่ไม่ทราบถึงการโจมตีดังกล่าวจนกระทั่งทางการได้แจ้งให้ทราบ
การโจมตีที่หลากหลาย
รายงานของตำรวจเน้นย้ำถึงสามกรณีที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์แต่ละกลุ่มที่ถูกกล่าวถึง โดยแสดงวิธีการโจมตีในหลายรูปแบบ ที่มีจุดมุ่งหมายเพื่อขโมยเทคโนโลยีการป้องกันประเทศ
แฮ็กเกอร์ Lazarus ใช้ประโยชน์จากระบบการเชื่อมต่อเครือข่ายที่มีการจัดการไม่ดี ซึ่งออกแบบมาเพื่อการทดสอบ และเจาะเครือข่ายภายในของบริษัทในอุตสาหกรรมการป้องกันประเทศตั้งแต่เดือนพฤศจิกายน 2022 ซึ่งหลังจากแทรกซึมเข้าไปในเครือข่าย พวกเขาก็รวบรวมข้อมูลสำคัญที่จัดเก็บไว้ในคอมพิวเตอร์ของบริษัท และถ่ายโอนไปยังเซิร์ฟเวอร์คลาวด์ในต่างประเทศ
การโจมตีครั้งที่สองมีสาเหตุมาจากกลุ่ม Andariel ซึ่งขโมยข้อมูลบัญชีจากพนักงานของบริษัทซ่อมบำรุงที่ให้บริการผู้รับเหมาช่วงด้านการป้องกัน พวกเขาใช้บัญชีที่ถูกขโมยนี้ในเดือนตุลาคม 2022 โดยได้ติดตั้งมัลแวร์บนเซิร์ฟเวอร์ของผู้รับเหมาช่วงเหล่านี้ ส่งผลให้ข้อมูลทางเทคนิคที่เกี่ยวข้องกับการป้องกันประเทศรั่วไหลอย่างมีนัยสำคัญ โดยการบุกรุกครั้งนี้ยังรุนแรงขึ้นอีกเนื่องจากพนักงานใช้รหัสผ่านเดียวกันสำหรับบัญชีส่วนตัว และบัญชีที่ทำงาน
การโจมตีครั้งที่สามในคำแนะนำของตำรวจ คือกลุ่มแฮ็กเกอร์ Kimsuky ใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์อีเมลของผู้รับเหมาช่วงด้านการป้องกันประเทศระหว่างเดือนเมษายนถึงกรกฎาคม 2023 ซึ่งอนุญาตให้ดาวน์โหลดไฟล์ขนาดใหญ่ได้โดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ ช่องโหว่นี้ถูกใช้เพื่อดาวน์โหลด และขโมยข้อมูลทางเทคนิคที่สำคัญจากเซิร์ฟเวอร์ภายในของบริษัท
ตำรวจเกาหลีได้แนะนำให้ทั้งบริษัทป้องกันประเทศ และผู้รับเหมาช่วงปรับปรุงการแบ่งส่วนความปลอดภัยเครือข่าย การรีเซ็ตรหัสผ่านเป็นระยะ ตั้งค่าการตรวจสอบสิทธิ์แบบสองขั้นตอนในบัญชีที่สำคัญทั้งหมด และบล็อกการเข้าถึงจาก IP ต่างประเทศ
ที่มา : bleepingcomputer
You must be logged in to post a comment.