แคมเปญโจมตีนักวิจัยความปลอดภัยที่มุ่งเป้าโดยเกาหลีเหนือ
(blog.google)- ผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่ง Google TAG กำลังติดตามอยู่ ยังคงมุ่งเป้าไปที่นักวิจัยด้านความปลอดภัยสายวิจัยและพัฒนาช่องโหว่อย่างต่อเนื่อง และในแคมเปญล่าสุดก็พบ 0-day ที่ถูกนำไปใช้โจมตีจริงอย่างแข็งขัน
- ผู้โจมตีสร้างความสัมพันธ์บน X ก่อน จากนั้นย้ายการสนทนาไปยัง Signal, WhatsApp และ Wire แล้วเมื่อสร้างความไว้วางใจกับนักวิจัยได้ ก็จะส่งไฟล์อันตรายที่มี 0-day ของแพ็กเกจซอฟต์แวร์ยอดนิยมไปให้
- หลังจากเอ็กซ์พลอยต์สำเร็จ shellcode จะทำการตรวจจับเครื่องเสมือน และส่งข้อมูลที่เก็บได้พร้อมภาพหน้าจอไปยังโดเมน C2 ที่ผู้โจมตีควบคุม
- เครื่องมือ Windows แยกต่างหากที่น่าสงสัยว่าเป็นเส้นทางการติดเชื้ออีกทางหนึ่งคือ GetSymbol ซึ่งดูเหมือนยูทิลิตีสำหรับดาวน์โหลด debugging symbol แต่สามารถดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมได้
- TAG ได้เพิ่มโดเมนที่เกี่ยวข้องเข้าไปใน Safe Browsing และส่งคำเตือนผู้โจมตีที่ได้รับการสนับสนุนจากรัฐให้ผู้ใช้ Gmail และ Workspace ที่ตกเป็นเป้าหมาย พร้อมแนะนำให้เปิด Chrome Enhanced Safe Browsing และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุด
การมุ่งเป้านักวิจัยความปลอดภัยที่เกิดซ้ำ
- Google Threat Analysis Group (TAG) เคยเปิดเผยเมื่อเดือนมกราคม 2021 ว่ามีปฏิบัติการจากกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ใช้ 0-day exploit เพื่อโจมตีนักวิจัยความปลอดภัยด้านการวิจัยช่องโหว่
- ตลอด 2 ปีครึ่งหลังจากนั้น TAG ยังคงติดตามและสกัดกั้นแคมเปญในกลุ่มเดียวกันอย่างต่อเนื่อง พร้อมค้นหา 0-day เพื่อปกป้องผู้ใช้ออนไลน์
- แคมเปญใหม่ที่เพิ่งยืนยันได้ล่าสุด มีความเป็นไปได้ว่าเป็นผู้โจมตีรายเดียวกัน เนื่องจากมีความคล้ายคลึงกับกิจกรรมก่อนหน้า
- ในช่วงไม่กี่สัปดาห์ที่ผ่านมา การโจมตีนักวิจัยความปลอดภัยมีการใช้ 0-day ที่ถูกโจมตีจริงอย่างแข็งขันอย่างน้อย 1 รายการ และได้มีการรายงานช่องโหว่นี้ไปยังผู้จำหน่ายที่ได้รับผลกระทบแล้ว
- ผู้จำหน่ายได้ออกแพตช์เมื่อวันที่ 12 กันยายน 2023 และ TAG ได้เผยแพร่ root cause analysis ตามนโยบายการเปิดเผยข้อมูลของ Google
สร้างความสัมพันธ์ทางสังคมก่อนส่งไฟล์อันตราย
- เช่นเดียวกับแคมเปญก่อนหน้า ผู้โจมตีจะเริ่มติดต่อกับนักวิจัยเป้าหมายผ่านโซเชียลมีเดียอย่าง X ก่อน
- ในกรณีหนึ่ง ผู้โจมตีพยายามร่วมงานกับนักวิจัยด้านความปลอดภัย โดยสนทนากันต่อเนื่องหลายเดือนบนพื้นฐานของความสนใจร่วมกัน
- การสนทนาที่เริ่มต้นบน X จะถูกย้ายไปยังแอปส่งข้อความเข้ารหัสอย่าง Signal, WhatsApp และ Wire
- เมื่อสร้างความไว้วางใจได้แล้ว ผู้โจมตีจะส่งไฟล์อันตรายที่มี 0-day ของแพ็กเกจซอฟต์แวร์ยอดนิยมอย่างน้อย 1 รายการ
- หากเอ็กซ์พลอยต์สำเร็จ shellcode จะดำเนินการตรวจสอบหลายรูปแบบเพื่อหลีกเลี่ยงเครื่องเสมือน
- หลังจากนั้นจะส่งข้อมูลที่รวบรวมได้และภาพหน้าจอไปยังโดเมนสั่งการและควบคุมที่ผู้โจมตีควบคุม
- วิธีการจัดโครงสร้าง shellcode มีความคล้ายคลึงกับ shellcode ที่เคยพบในเอ็กซ์พลอยต์ของเกาหลีเหนือก่อนหน้านี้
เส้นทางการติดเชื้อรองที่เป็นไปได้ผ่าน GetSymbol
- นอกจากการมุ่งเป้าด้วย 0-day แล้ว ผู้โจมตียังพัฒนาเครื่องมือ Windows แบบสแตนด์อโลนขึ้นมาด้วย
- เครื่องมือนี้อ้างว่ามีจุดประสงค์เพื่อดาวน์โหลด debugging symbol จาก symbol server ของ Microsoft, Google, Mozilla และ Citrix สำหรับงาน reverse engineering
- ซอร์สโค้ด ถูกเผยแพร่บน GitHub ครั้งแรกเมื่อวันที่ 30 กันยายน 2022 และหลังจากนั้นก็มีการปล่อยอัปเดตหลายครั้ง
- ภายนอกดูเหมือนเป็นยูทิลิตีสำหรับดาวน์โหลดข้อมูล symbol จากหลายแหล่งได้อย่างรวดเร็ว
- Symbols ให้ข้อมูลเพิ่มเติมเกี่ยวกับไบนารี ซึ่งอาจช่วยในการดีบักปัญหาซอฟต์แวร์หรือการวิจัยช่องโหว่ได้
- แต่เครื่องมือนี้ยังมีความสามารถในการดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมด้วย
- TAG แนะนำว่าหากเคยดาวน์โหลดหรือรันเครื่องมือนี้ ควรตรวจสอบว่าระบบยังอยู่ในสถานะสะอาดที่ทราบแน่ชัดหรือไม่ และอาจจำเป็นต้องติดตั้งระบบปฏิบัติการใหม่
มาตรการป้องกันของ Google
- TAG ใช้ผลการวิจัยเพื่อรับมือกับกลุ่มภัยคุกคามร้ายแรงในการยกระดับความปลอดภัยและความมั่นคงของผลิตภัณฑ์ Google
- เว็บไซต์และโดเมนทั้งหมดที่ตรวจพบจะถูกเพิ่มเข้า Safe Browsing ทันทีที่พบ เพื่อปกป้องผู้ใช้จากการถูกนำไปใช้โจมตีเพิ่มเติม
- ผู้ใช้ Gmail และ Workspace ที่ตกเป็นเป้าหมายจะได้รับ government-backed attacker alerts
- ผู้ที่อาจเป็นเป้าหมายควรเปิดใช้ Enhanced Safe Browsing ของ Chrome และทำให้อุปกรณ์ทั้งหมดเป็นเวอร์ชันล่าสุดอยู่เสมอ
- ยิ่งมีความเข้าใจต่อยุทธวิธีและเทคนิคมากขึ้นเท่าไร ความสามารถในการล่าและตรวจจับภัยคุกคาม รวมถึงการปกป้องผู้ใช้ทั้งอุตสาหกรรมก็จะยิ่งแข็งแกร่งขึ้น
เว็บไซต์และบัญชีที่ผู้โจมตีควบคุม
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2 IPs/Domains
23.106.215[.]105www.blgbeach[.]com
-
บัญชี X
-
บัญชี Wire
@paul354
-
บัญชี Mastodon
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เครื่องมือ getsymbol บน GitHub ได้รับ 214 ดาว แต่ไม่เห็นมีแบนเนอร์ใด ๆ บอกว่าเป็นเครื่องมืออันตรายเลย
แม้ใน issue ล่าสุดจะมีลิงก์ไปยังบทความบล็อกของ Google อยู่ แต่ก็มีแค่นั้น
ถ้ามีคนจาก GitHub กำลังดูอยู่ ขอแนะนำอย่างยิ่งให้เพิ่ม แบนเนอร์หรือโมดอลเตือนเรื่องแบ็กดอร์ ให้กับเครื่องมือนี้ และซอฟต์แวร์อื่น ๆ ที่ทราบว่ามีแบ็กดอร์ (เช่น fork)
ผมเองก็เคยทำแบบนั้นหลายครั้ง :(
มีความเป็นไปได้สูงกว่ามากว่าแบ็กดอร์อยู่ใน ไบนารี release หรือไบนารีสำหรับอัปเดตอัตโนมัติ
ถ้าคอมไพล์เองแล้วกดยอมรับการอัปเดตอัตโนมัติ ก็อาจติดมัลแวร์ได้ และไบนารีมีขนาดเกิน 15MB จึงเหลือเฟือสำหรับซ่อนแบ็กดอร์เล็ก ๆ
ถ้ามีจุดร่วมกับโปรเจกต์ obscure อื่น ๆ ก็อาจเป็นสัญญาณว่าบัญชีเหล่านั้นเป็น บัญชีหุ่นเชิด
สงสัยว่าเว็บไซต์ดาวน์โหลดยอดนิยมเชื่อถือได้แค่ไหน
เช่น ไบนารี ffmpeg สำหรับ Windows[1] ถูกโฮสต์อยู่บนเว็บไซต์ของบุคคลหนึ่ง
แม้จะตรวจ checksum อะไรพวกนั้นได้ แต่ก็ยังไม่มีหลักประกันว่าเชื่อมโยงกับ Git commit ใดจริง ๆ
สำหรับการดาวน์โหลดที่ไม่ใช่ GitHub/ไม่ใช่โฮสต์ทางการ และไม่มี build ที่ทำซ้ำได้หรือพิสูจน์ได้ ผมจะถือโดยปริยายว่าเป็นผู้ปฏิบัติการระดับรัฐ
ผมระแวงเกินไปไหม? package manager ของ Linux/Mac แก้เรื่องนี้อย่างไร?
[1] https://ffmpeg.org/download.html
เรื่องนี้เคยเกิดขึ้นจริงกับ Linux Mint
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
ถ้าไม่เข้าไปดู issue ก็จะดูปกติสมบูรณ์แบบ
https://github.com/dbgsymbol/getsymbol
ดาวน์โหลดสำหรับ Windows ให้บริการโดย "shinchiro" บน SourceForge และดาวน์โหลดสำหรับ MacOS ให้บริการโดย "stolendata" จาก stolendata.net
ตอนนี้ยังค่อนข้างอยู่ในช่วงเริ่มต้น
ไม่ได้ช็อกหรือนับว่าใหม่ แต่ก็น่าสนใจ
ทำไมถึงใช้ 0-day กับนักวิจัยความปลอดภัย? เดาว่ามันเป็นการทดสอบที่มีข้อดี
ถ้าใช้ได้ผลกับนักวิจัยความปลอดภัย ก็ถือว่าเป็นช่องโหว่ที่ดีพอจะนำไปใช้จริง และในระยะยาวก็คงคำนวณไว้ด้วยว่าอาจได้ 0-day จำนวน 1+x รายการ จากนักวิจัยคนนั้น
สำหรับนักวิจัยความปลอดภัยเอง นี่ก็เป็นสถานการณ์ที่น่าสนใจ
ถ้าระวังตัวมากพอและแกล้งโง่ได้เนียนพอ ก็อาจเก็บเกี่ยวเวกเตอร์โจมตีใหม่ ๆ หรือ 0-day ได้ “ฟรี ๆ” แต่ถ้าประเมินตัวเองสูงเกินไปก็โดนเล่นทันที
เครื่องมือนี้ยังมีฟังก์ชันดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมด้วย
พูดอีกอย่างก็คือ อัปเดตอัตโนมัติ
เป็นเพราะ Big Tech ปลูกฝังให้สาธารณชนยอมรับการพึ่งพาแบบนี้ หรือไม่ก็ลบทางเลือกอื่นออกไป และตอนนี้น่าขันตรงที่ท่าทีแบบพึ่งพาและเชื่อใจนั้นแพร่ไปถึงนักวิจัยความปลอดภัยจนย้อนกลับมากัดเอง
พวกเราบางคนรู้ตั้งแต่แรกแล้วว่าท่าทีแบบนี้จะนำไปสู่อะไร และไม่ใช่ทุกคนที่เป็นนักวิจัยความปลอดภัยด้วย
แค่เราเคยเห็นผลเสียอื่น ๆ ที่เกิดจากการอนุญาตให้ใครบางคนผลักอะไรบางอย่างลงมาในเครื่องของเราแล้วสั่งรัน จากนั้นก็เชื่อมโยงสองเรื่องเข้าด้วยกันเท่านั้น
เดาล้วน ๆ แต่ว่าอัปเดตความปลอดภัย macOS ตัวใหม่เพิ่งออกมา และมีข้อความแบบนี้
“ผลกระทบ: การประมวลผลภาพที่ถูกสร้างขึ้นอย่างประสงค์ร้ายอาจนำไปสู่การรันโค้ดตามอำเภอใจ Apple รับทราบรายงานว่าปัญหานี้อาจถูกใช้โจมตีจริงแล้ว”
https://support.apple.com/en-us/HT213906
ผมไม่ใช่นักพนัน แต่ขอเดาว่าช่องโหว่ที่กำลังพูดถึงกันคืออันนี้
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
สิ่งที่สงสัยคือเรื่องนี้
คนเกาหลีเหนือพวกนี้ ถ้าจะหา 0-day ก็น่าจะจำเป็นในทางปฏิบัติ จึงชัดเจนว่าต้องมีสิทธิ์เข้าถึงอินเทอร์เน็ตแบบไม่ถูกจำกัด และก็ชัดเจนว่าต้องเข้าใจภาษาอังกฤษอย่างน้อยในระดับหนึ่ง
แล้วทำไมพวกเขาถึงไม่บังเอิญเจอสื่อที่เผยให้เห็นสิ่งที่สื่อรัฐปกปิดไว้บ้างเลย?
ในความเป็นจริง ก็คงคัดเลือกโดยดูที่ ความรักชาติ เหมือนหน่วยข่าวกรองของประเทศอื่นๆ อยู่แล้ว
คำถามนี้คล้ายกับการถามว่าทำไมเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้เห็นข้อมูลเกี่ยวกับเกาหลีเหนือมากกว่าแค่โฆษณาชวนเชื่อ ถึงไม่ลี้ภัยไปเกาหลีเหนือเพราะเกาหลีเหนือมีหลักประกันด้านสาธารณสุขที่ดีกว่า โรงเรียนไม่มีเหตุกราดยิง และจัดการขยะได้ดีกว่า
พวกเขาอาจไม่ได้ให้คุณค่ากับแง่มุมที่ดูดีกว่าในสังคมเกาหลีเหนือ และอาจไม่เชื่อด้วยซ้ำว่าในบางสถานการณ์มันดีกว่าจริง
ผมไม่เห็นเหตุผลมากนักว่าทำไมหน่วยข่าวกรองเกาหลีเหนือถึงจะแตกต่าง
น่าจะรู้อยู่แล้ว
เพียงแต่มีวิธีอื่นในการควบคุมคนเหล่านี้ แครอตคือ อภิสิทธิ์ ภายในเกาหลีเหนือ ส่วนไม้เรียวคือผลลัพธ์ที่จะเกิดกับตัวเองและครอบครัวเมื่อข้ามเส้น
การไปประเทศที่เสรีกว่านั้นยากสำหรับชาวเกาหลีเหนือทุกคน และเพราะทั้งแครอตกับไม้เรียว พวกเขาคงเลิกแฮ็กเฉยๆ ไม่ได้
น่าจะถูกเฝ้าระวังอย่างใกล้ชิดด้วย
บางคนอาจเชื่อโฆษณาชวนเชื่อจริงๆ และคนเหล่านี้ก็น่าจะได้รับการปฏิบัติค่อนข้างดี
แต่นั่นไม่ได้ทำให้ความผิดของเกาหลีเหนือได้รับการยกเว้น
พวกเขาถูกเฝ้าระวังอย่างใกล้ชิดในที่ทำงาน และมักถูกข่มขู่เรื่องครอบครัว
สงสัยว่าเป็นไปได้แค่ไหนที่นักวิจัยด้านความปลอดภัยจะรันไบนารี Windows ที่ได้รับจากคนแปลกหน้าทางแชต
เรื่องนี้ตอนนี้แทบจะเป็นสามัญสำนึกแล้วด้วยซ้ำ ไม่ใช่แค่พื้นฐานก่อนเข้าวงการความปลอดภัย
กลับกัน ผมคิดว่านักวิจัยน่าจะได้โอกาสนำไบนารีนั้นไปลองเล่นในสภาพแวดล้อมที่ปลอดภัยมากกว่า
ผู้โจมตีเปิดซอร์สโค้ดไว้แล้วด้วยซ้ำ จึงไม่จำเป็นต้องทำ reverse engineering
เป็น black hat ใจดีนี่เอง
ว่าแต่มีใครช่วยหา exploit ใน repository ที่ลิงก์ไว้ได้ไหม? อยากรู้ว่ามันทำอะไร แต่ขี้เกียจไล่ดูทุกไฟล์
บทความต้นฉบับก็น่าจะลิงก์ไว้ และบอกได้ด้วยว่ามีหลักฐานอะไรที่ทำให้ตัดสินว่าโปรเจกต์นี้เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ
ผู้ปฏิบัติงานด้านความมั่นคงสารสนเทศรุ่นใหม่มักถูกสนับสนุนให้สอบใบรับรองอย่าง OSCP, eJPT และในธุรกิจขายใบรับรองแบบนี้ มักต้องเจาะกล่องที่รู้จักกันอยู่แล้ว
เลยเกิดวัฒนธรรม “ช่วยกัน” ในเซิร์ฟเวอร์ Discord และส่วนหนึ่งของความช่วยเหลือนั้นมาในรูปไบนารีหรือซอร์สโค้ดที่ถูกทำให้อ่านยาก
แล้วก็เอาไปรันบนแล็ปท็อปที่ใช้ทำงาน penetration test
แล็ปท็อปเครื่องนั้นมีคีย์ SSH สำหรับเข้าเซิร์ฟเวอร์เขียนรายงาน และท้ายที่สุดถ้าโดนเจาะ เกาหลีเหนือก็จะเข้าถึงข้อมูลบริษัทเอกชนของสหรัฐฯ และช่องโหว่ต่างๆ ได้
อาจเคยเห็นเรื่องแบบนี้เกิดขึ้นจริงมาแล้วก็ได้
เนื้อหาคือมีเอกสารที่บางโปรแกรมอ่านแล้วใช้ประโยชน์จาก 0-day และพวกเขาได้รับเอกสารนั้น
เพราะถ้าเปิดเผยแล้วก็คงใช้ไม่ได้อีก
ถ้าสภาพแวดล้อมของนักวิจัยด้านความปลอดภัยไม่ได้ออกแบบมาดีพอ ไม่ว่าจะเพราะปัญหางบประมาณหรือความสะเพร่า เรื่องแบบนี้เกิดขึ้นจริงได้ และผู้โจมตีสามารถเข้าถึงเนื้อในแสนอร่อยได้อย่างรวดเร็ว
กังวลที่นักวิจัย attribution แคมเปญแบบนี้อย่างสบายๆ เกินไป
วิธีการ attribution ไม่เคยถูกบอก แต่สิ่งที่คนไม่ใช่สายเทคนิคให้ความสนใจมากที่สุดมักเป็น attribution เสมอ
ดูแค่บทความนี้ สองคำแรกก็เป็นผู้ก่อเหตุที่ถูก attribution แล้ว
แต่ไม่มีทางพิสูจน์ได้เลย
บนอินเทอร์เน็ต attribution นั้นยากมาก ยากจริงๆ ยากสุดๆ
เราไม่มีวิธีตัดสินอย่างอิสระว่าเราถูกหรือผิด จึงไม่รู้ด้วยซ้ำว่ามันยากแค่ไหน
ถ้าคิดว่า attribution ไม่เกี่ยวข้องกับแรงจูงใจทางการเมืองเลย ก็คงไร้เดียงสา
จากสิ่งนี้จึงถือว่า attribution โดยทั่วไปค่อนข้างแม่นยำ
แต่ถ้าถอยออกมามองอย่างเป็นกลาง ก็จะเห็นว่ามันค่อนข้างเสแสร้ง เพราะแหล่งที่มาของข่าวกรองนั้น ละเมิดความเป็นส่วนตัว
น่าประหลาดใจที่เกาหลีเหนือยังหานักแฮ็กและบุคลากรไซเบอร์ซีเคียวริตี้ระดับสูงได้มากพอจะทำเรื่องแบบนี้ ทั้งที่ระดับการศึกษาด้านคอมพิวเตอร์ของประชากรโดยรวมอ่อนแอมาก
ถ้าเด็กเกาหลีเหนือคนหนึ่งแสดงพรสวรรค์ทางคณิตศาสตร์ ก็จะถูกจับตา และถ้าเก่งพอ จะถูกส่งไป โรงเรียนคณิตศาสตร์พิเศษ ซึ่งแทบจะไม่ได้เรียนอย่างอื่นเลย
จากนั้นถูกส่งไปมหาวิทยาลัยเทคนิคแห่งเดียว เพื่อเรียนการเขียนโปรแกรมคอมพิวเตอร์อย่างเข้มข้นเป็นเวลาหลายปี
หากผ่านเกณฑ์ ก็จะถูกส่งไปจีน และใช้อินเทอร์เน็ตที่เข้าถึงได้ดีกว่าเพื่อทำตั้งแต่ขโมยทองใน MMORPG ไปจนถึงโจมตีฟิชชิงและค้นหา 0-day
ฟังดูเป็นชีวิตที่มืดมน ทำงานวันละ 12 ชั่วโมง ถูกกดดันเรื่องผลงานตลอดเวลา และอยู่หอพักคับแคบ
เพราะงั้นก็คล้าย Silicon Valley อยู่เหมือนกัน ;)
แม้แต่ผู้นำเผด็จการสูงสุดก็เคยเรียนมัธยมต้นและมัธยมปลายในสวิตเซอร์แลนด์
“เว็บไซต์และโดเมนทั้งหมดที่ได้รับการยืนยันทันทีที่พบ จะถูกเพิ่มเข้า Safe Browsing เพื่อปกป้องผู้ใช้จากการถูกโจมตีเพิ่มเติม”
ในเบราว์เซอร์ Brave, dbgsymbol.com ไม่ขึ้น คำเตือน Safe Browsing
คำเตือน: เวกเตอร์ยังไม่ทราบ