กระทรวงยุติธรรมสหรัฐฯ ตั้งข้อกล่าวหาแฮ็กเกอร์ชาวเกาหลีเหนือฐานโจมตีโรงพยาบาลด้วยแรนซัมแวร์
กระทรวงยุติธรรมของสหรัฐฯ (DoJ) ได้เปิดเผยคำฟ้องต่อเจ้าหน้าที่หน่วยข่าวกรองทางทหารของเกาหลีเหนือเมื่อวันพฤหัสบดีที่ผ่านมา โดยกล่าวหาว่าได้ดำเนินการโจมตีด้วยแรนซัมแวร์ต่อสถานพยาบาลในประเทศ และนำเงินที่ได้จากการเรียกค่าไถ่ไปใช้ในการโจมตีเพิ่มเติมต่อหน่วยงานด้านการป้องกันประเทศ เทคโนโลยี และหน่วยงานของรัฐทั่วโลก
Paul Abbate รองผู้อำนวยการสำนักงานสอบสวนกลางระบุว่า "Rim Jong Hyok และผู้ร่วมสมคบคิดใช้แรนซัมแวร์เพื่อเรียกค่าไถ่โรงพยาบาล และบริษัทดูแลสุขภาพของสหรัฐฯ จากนั้นได้ทำการฟอกเงินเพื่อนำไปใช้เป็นทุนสนับสนุนกิจกรรมผิดกฎหมายของเกาหลีเหนือ"
สำหรับการฟ้องร้องนั้น กระทรวงการต่างประเทศสหรัฐฯ ได้ประกาศรางวัลสูงสุดถึง 10 ล้านเหรียญสหรัฐสำหรับข้อมูลที่อาจนำไปสู่การค้นหาที่อยู่ของเขา หรือการระบุตัวบุคคลอื่นที่เกี่ยวข้องกับการดำเนินการครั้งนี้
Hyok (Rim Jong Hyok) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ที่มีชื่อว่า Andariel (หรือที่รู้จักในชื่อ APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly และ TDrop2) โดยเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับการเรียกค่าไถ่ด้วยแรนซัมแวร์ที่ชื่อว่า Maui ซึ่งถูกพบครั้งแรกในปี 2022 โดยมีเป้าหมายเป็นองค์กรในญี่ปุ่น และสหรัฐอเมริกา
เงินค่าไถ่เหล่านี้ถูกฟอกผ่านตัวกลางที่ตั้งอยู่ในฮ่องกง โดยแปลงเป็นเงินหยวนของจีน หลังจากนั้นเงินจะถูกถอนออกจากตู้ ATM และนำไปใช้ในการจัดหาเซิร์ฟเวอร์ VPS ซึ่งจะถูกใช้ในการขโมยข้อมูลเทคโนโลยี และการป้องกัน โดยเป้าหมายของแคมเปญนี้ได้แก่ฐานทัพอากาศสหรัฐ 2 แห่ง, NASA-OIG ตลอดจนผู้รับเหมาด้านการป้องกันประเทศของเกาหลีใต้ และไต้หวัน และบริษัทพลังงานของจีน
กระทรวงการต่างประเทศเน้นย้ำถึงการโจมตีทางไซเบอร์ที่เริ่มขึ้นในเดือนพฤศจิกายน 2022 ส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลได้มากกว่า 30 กิกะไบต์จากผู้รับเหมาด้านการป้องกันประเทศที่ตั้งอยู่ในสหรัฐฯซึ่งไม่ได้ระบุชื่อ ประกอบด้วยข้อมูลทางเทคนิคเกี่ยวกับวัสดุที่ใช้ในเครื่องบินทหาร และดาวเทียม
นอกจากนี้ หน่วยงานต่าง ๆ ยังได้ประกาศ "การสกัดกั้นเงินดิจิทัลมูลค่าประมาณ 114,000 ดอลลาร์ที่ได้จากการโจมตีด้วยแรนซัมแวร์ และการฟอกเงิน รวมถึงการยึดบัญชีออนไลน์ที่ผู้สมรู้ร่วมคิดใช้ในการโจมตีทางไซเบอร์"
Andariel ซึ่งสังกัดกองบัญชาการหน่วยลาดตระเวน (RGB) หน่วยที่ 3 มีประสบการณ์ในการโจมตีธุรกิจต่างประเทศ รัฐบาล อุตสาหกรรมการบิน และอวกาศ นิวเคลียร์ และการป้องกันประเทศ โดยมีเป้าหมายเพื่อให้ได้มาซึ่งข้อมูลทางเทคนิคที่มีความสำคัญ และเป็นความลับ รวมถึงทรัพย์สินทางปัญญา เพื่อส่งเสริมความมุ่งมั่นทางการทหาร และนิวเคลียร์ของรัฐบาลเกาหลีเหนือ ซึ่งเป้าหมายที่น่าสนใจอื่น ๆ ในปัจจุบัน ได้แก่ สถาบันการศึกษา, บริษัทก่อสร้าง และองค์กรการผลิตในเกาหลีใต้
สำนักงานความมั่นคงแห่งชาติ (NSA) ระบุว่า "กลุ่มนี้ยังคงเป็นภัยคุกคามต่อภาคอุตสาหกรรมต่าง ๆ ทั่วโลก รวมถึงหน่วยงานในสหรัฐอเมริกา, เกาหลีใต้, ญี่ปุ่น และอินเดีย กลุ่มนี้ใช้เงินทุนเพื่อการดำเนินการโจมตีด้วยแรนซัมแวร์ต่อหน่วยงานด้านการดูแลสุขภาพของสหรัฐฯ"
การเข้าถึงเครือข่ายเป้าหมายในเบื้องต้นทำได้โดยการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต ทำให้กลุ่มแฮ็กเกอร์สามารถดำเนินการสำรวจระบบ, การแฝงตัวบนระบบ, การยกระดับสิทธิ์, การโจมตีต่อไปภายในเครือข่าย และการขโมยข้อมูล โดยใช้แบ็กดอร์ที่สร้างขึ้นมาเอง, remote access trojans, เครื่องมือสำเร็จรูป และโอเพ่นซอร์สอื่น ๆ
การแพร่กระจายมัลแวร์อื่น ๆ ที่ได้รับการบันทึกไว้เกี่ยวข้องกับการใช้อีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เช่น ไฟล์ Microsoft Windows Shortcut (LNK) หรือไฟล์สคริปต์ HTML Application (HTA) ภายในไฟล์ ZIP
สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานด้านความปลอดภัยของสหรัฐฯ (CISA) ระบุว่า “กลุ่มผู้โจมตีมีความเชี่ยวชาญในการใช้เครื่องมือ และกระบวนที่เรียกว่า living-off-the-land (LotL)” “พวกเขาใช้ command line ของ Windows, PowerShell, Windows Management Instrumentation command line (WMIC) และ Linux bash สำหรับการโจมตีเครือข่าย และบัญชีผู้ใช้งาน”
Microsoft ได้ระบุในคำแนะนำเกี่ยวกับ Andariel ว่า "กลุ่มผู้โจมตีได้พัฒนาชุดเครื่องมืออย่างต่อเนื่องเพื่อเพิ่มฟังก์ชันใหม่ ๆ และนำวิธีการใหม่ ๆ มาใช้เพื่อหลบเลี่ยงการตรวจจับ ในขณะที่ยังคงมีรูปแบบการโจมตีที่เป็นรูปแบบเดิม ๆ"
"ความสามารถของกลุ่มดังกล่าวในการพัฒนาเครื่องมือต่าง ๆ ทำให้กลายเป็นภัยคุกคามอย่างต่อเนื่อง โดยเฉพาะต่อเป้าหมายที่หน่วยข่าวกรองของเกาหลีเหนือให้ความสนใจ เช่น องค์กรในภาคการป้องกันประเทศ, วิศวกรรม และพลังงาน"
เครื่องมือที่น่าสนใจบางส่วนที่รายงานโดย Microsoft มีดังต่อไปนี้
- TigerRAT : มัลแวร์ที่สามารถขโมยข้อมูลที่เป็นความลับ และดำเนินการคำสั่ง เช่น การบันทึกแป้นพิมพ์ และการบันทึกหน้าจอ จากเซิร์ฟเวอร์คำสั่ง และการควบคุม (C2)
- SmallTiger : แบ็กดอร์ C++
- LightHand : แบ็กดอร์สำหรับการเข้าถึงอุปกรณ์จากระยะไกล
- ValidAlpha (หรือที่เรียกว่า Black RAT) : แบ็กดอร์ที่สามารถเรียกใช้ไฟล์ได้ตามต้องการ, แสดงรายการเนื้อหาของไดเรกทอรี, ดาวน์โหลดไฟล์, จับภาพหน้าจอ และเปิดใช้งาน shell เพื่อดำเนินการคำสั่งได้ตามต้องการ
- Dora RAT : "สายพันธุ์มัลแวร์แบบดั้งเดิม" ที่รองรับ reverse shell และความสามารถในการดาวน์โหลด/อัปโหลดไฟล์
Andariel เป็นเพียงหนึ่งในกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งปฏิบัติการภายใต้การกำกับดูแลของรัฐบาล และกองทัพเกาหลีเหนือ ร่วมกับกลุ่มอื่น ๆ ที่ถูกติดตาม เช่น Lazarus Group, BlueNoroff, Kimsuky และ ScarCruft
“การโจมตีทางไซเบอร์ถูกนำมาใช้ในฐานะความสามารถเชิงกลยุทธ์ที่สามารถใช้ทั้งการรวบรวมข่าวกรอง และการหาเงิน ในขณะที่ในอดีตวัตถุประสงค์เหล่านี้จะมาจากปฏิบัติการโดยกลุ่มแฮ็กเกอร์ต่าง ๆ เอง แต่ในช่วงไม่กี่ปีที่ผ่านมา พบกลุ่มแฮ็กเกอร์จำนวนมากที่ปฏิบัติการภายใต้การสนับสนุนจากรัฐบาลเกาหลีเหนือ”
ที่มา : thehackernews
You must be logged in to post a comment.