2 คะแนน โดย GN⁺ 2023-09-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่ง Google TAG กำลังติดตามอยู่ ยังคงมุ่งเป้าไปที่นักวิจัยด้านความปลอดภัยสายวิจัยและพัฒนาช่องโหว่อย่างต่อเนื่อง และในแคมเปญล่าสุดก็พบ 0-day ที่ถูกนำไปใช้โจมตีจริงอย่างแข็งขัน
  • ผู้โจมตีสร้างความสัมพันธ์บน X ก่อน จากนั้นย้ายการสนทนาไปยัง Signal, WhatsApp และ Wire แล้วเมื่อสร้างความไว้วางใจกับนักวิจัยได้ ก็จะส่งไฟล์อันตรายที่มี 0-day ของแพ็กเกจซอฟต์แวร์ยอดนิยมไปให้
  • หลังจากเอ็กซ์พลอยต์สำเร็จ shellcode จะทำการตรวจจับเครื่องเสมือน และส่งข้อมูลที่เก็บได้พร้อมภาพหน้าจอไปยังโดเมน C2 ที่ผู้โจมตีควบคุม
  • เครื่องมือ Windows แยกต่างหากที่น่าสงสัยว่าเป็นเส้นทางการติดเชื้ออีกทางหนึ่งคือ GetSymbol ซึ่งดูเหมือนยูทิลิตีสำหรับดาวน์โหลด debugging symbol แต่สามารถดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมได้
  • TAG ได้เพิ่มโดเมนที่เกี่ยวข้องเข้าไปใน Safe Browsing และส่งคำเตือนผู้โจมตีที่ได้รับการสนับสนุนจากรัฐให้ผู้ใช้ Gmail และ Workspace ที่ตกเป็นเป้าหมาย พร้อมแนะนำให้เปิด Chrome Enhanced Safe Browsing และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุด

การมุ่งเป้านักวิจัยความปลอดภัยที่เกิดซ้ำ

  • Google Threat Analysis Group (TAG) เคยเปิดเผยเมื่อเดือนมกราคม 2021 ว่ามีปฏิบัติการจากกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ใช้ 0-day exploit เพื่อโจมตีนักวิจัยความปลอดภัยด้านการวิจัยช่องโหว่
  • ตลอด 2 ปีครึ่งหลังจากนั้น TAG ยังคงติดตามและสกัดกั้นแคมเปญในกลุ่มเดียวกันอย่างต่อเนื่อง พร้อมค้นหา 0-day เพื่อปกป้องผู้ใช้ออนไลน์
  • แคมเปญใหม่ที่เพิ่งยืนยันได้ล่าสุด มีความเป็นไปได้ว่าเป็นผู้โจมตีรายเดียวกัน เนื่องจากมีความคล้ายคลึงกับกิจกรรมก่อนหน้า
  • ในช่วงไม่กี่สัปดาห์ที่ผ่านมา การโจมตีนักวิจัยความปลอดภัยมีการใช้ 0-day ที่ถูกโจมตีจริงอย่างแข็งขันอย่างน้อย 1 รายการ และได้มีการรายงานช่องโหว่นี้ไปยังผู้จำหน่ายที่ได้รับผลกระทบแล้ว
  • ผู้จำหน่ายได้ออกแพตช์เมื่อวันที่ 12 กันยายน 2023 และ TAG ได้เผยแพร่ root cause analysis ตามนโยบายการเปิดเผยข้อมูลของ Google

สร้างความสัมพันธ์ทางสังคมก่อนส่งไฟล์อันตราย

  • เช่นเดียวกับแคมเปญก่อนหน้า ผู้โจมตีจะเริ่มติดต่อกับนักวิจัยเป้าหมายผ่านโซเชียลมีเดียอย่าง X ก่อน
    • ในกรณีหนึ่ง ผู้โจมตีพยายามร่วมงานกับนักวิจัยด้านความปลอดภัย โดยสนทนากันต่อเนื่องหลายเดือนบนพื้นฐานของความสนใจร่วมกัน
    • การสนทนาที่เริ่มต้นบน X จะถูกย้ายไปยังแอปส่งข้อความเข้ารหัสอย่าง Signal, WhatsApp และ Wire
  • เมื่อสร้างความไว้วางใจได้แล้ว ผู้โจมตีจะส่งไฟล์อันตรายที่มี 0-day ของแพ็กเกจซอฟต์แวร์ยอดนิยมอย่างน้อย 1 รายการ
  • หากเอ็กซ์พลอยต์สำเร็จ shellcode จะดำเนินการตรวจสอบหลายรูปแบบเพื่อหลีกเลี่ยงเครื่องเสมือน
    • หลังจากนั้นจะส่งข้อมูลที่รวบรวมได้และภาพหน้าจอไปยังโดเมนสั่งการและควบคุมที่ผู้โจมตีควบคุม
    • วิธีการจัดโครงสร้าง shellcode มีความคล้ายคลึงกับ shellcode ที่เคยพบในเอ็กซ์พลอยต์ของเกาหลีเหนือก่อนหน้านี้

เส้นทางการติดเชื้อรองที่เป็นไปได้ผ่าน GetSymbol

  • นอกจากการมุ่งเป้าด้วย 0-day แล้ว ผู้โจมตียังพัฒนาเครื่องมือ Windows แบบสแตนด์อโลนขึ้นมาด้วย
  • เครื่องมือนี้อ้างว่ามีจุดประสงค์เพื่อดาวน์โหลด debugging symbol จาก symbol server ของ Microsoft, Google, Mozilla และ Citrix สำหรับงาน reverse engineering
  • ซอร์สโค้ด ถูกเผยแพร่บน GitHub ครั้งแรกเมื่อวันที่ 30 กันยายน 2022 และหลังจากนั้นก็มีการปล่อยอัปเดตหลายครั้ง
  • ภายนอกดูเหมือนเป็นยูทิลิตีสำหรับดาวน์โหลดข้อมูล symbol จากหลายแหล่งได้อย่างรวดเร็ว
    • Symbols ให้ข้อมูลเพิ่มเติมเกี่ยวกับไบนารี ซึ่งอาจช่วยในการดีบักปัญหาซอฟต์แวร์หรือการวิจัยช่องโหว่ได้
  • แต่เครื่องมือนี้ยังมีความสามารถในการดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมด้วย
  • TAG แนะนำว่าหากเคยดาวน์โหลดหรือรันเครื่องมือนี้ ควรตรวจสอบว่าระบบยังอยู่ในสถานะสะอาดที่ทราบแน่ชัดหรือไม่ และอาจจำเป็นต้องติดตั้งระบบปฏิบัติการใหม่

มาตรการป้องกันของ Google

  • TAG ใช้ผลการวิจัยเพื่อรับมือกับกลุ่มภัยคุกคามร้ายแรงในการยกระดับความปลอดภัยและความมั่นคงของผลิตภัณฑ์ Google
  • เว็บไซต์และโดเมนทั้งหมดที่ตรวจพบจะถูกเพิ่มเข้า Safe Browsing ทันทีที่พบ เพื่อปกป้องผู้ใช้จากการถูกนำไปใช้โจมตีเพิ่มเติม
  • ผู้ใช้ Gmail และ Workspace ที่ตกเป็นเป้าหมายจะได้รับ government-backed attacker alerts
  • ผู้ที่อาจเป็นเป้าหมายควรเปิดใช้ Enhanced Safe Browsing ของ Chrome และทำให้อุปกรณ์ทั้งหมดเป็นเวอร์ชันล่าสุดอยู่เสมอ
  • ยิ่งมีความเข้าใจต่อยุทธวิธีและเทคนิคมากขึ้นเท่าไร ความสามารถในการล่าและตรวจจับภัยคุกคาม รวมถึงการปกป้องผู้ใช้ทั้งอุตสาหกรรมก็จะยิ่งแข็งแกร่งขึ้น

เว็บไซต์และบัญชีที่ผู้โจมตีควบคุม

1 ความคิดเห็น

 
GN⁺ 2023-09-08
ความคิดเห็นจาก Hacker News
  • เครื่องมือ getsymbol บน GitHub ได้รับ 214 ดาว แต่ไม่เห็นมีแบนเนอร์ใด ๆ บอกว่าเป็นเครื่องมืออันตรายเลย
    แม้ใน issue ล่าสุดจะมีลิงก์ไปยังบทความบล็อกของ Google อยู่ แต่ก็มีแค่นั้น
    ถ้ามีคนจาก GitHub กำลังดูอยู่ ขอแนะนำอย่างยิ่งให้เพิ่ม แบนเนอร์หรือโมดอลเตือนเรื่องแบ็กดอร์ ให้กับเครื่องมือนี้ และซอฟต์แวร์อื่น ๆ ที่ทราบว่ามีแบ็กดอร์ (เช่น fork)

    • นี่ก็เป็น reminder ที่ดี ว่าโค้ดบน GitHub ก็อาจเป็นอันตรายได้ และไม่ควรเชื่อสนิทใจเพียงเพราะผู้เขียนดูเหมือนมีความสนใจคล้ายกัน
      ผมเองก็เคยทำแบบนั้นหลายครั้ง :(
    • ตัวซอร์สโค้ดเองดูค่อนข้างสะอาด และฟังก์ชันอัปเดตอัตโนมัติก็ดูเหมือนจะอยู่หลังกล่องยืนยัน
      มีความเป็นไปได้สูงกว่ามากว่าแบ็กดอร์อยู่ใน ไบนารี release หรือไบนารีสำหรับอัปเดตอัตโนมัติ
      ถ้าคอมไพล์เองแล้วกดยอมรับการอัปเดตอัตโนมัติ ก็อาจติดมัลแวร์ได้ และไบนารีมีขนาดเกิน 15MB จึงเหลือเฟือสำหรับซ่อนแบ็กดอร์เล็ก ๆ
    • น่าลองวิเคราะห์บัญชีที่กดดาวให้ getsymbol โดยดูจากช่วงก่อนถูกเปิดเผย
      ถ้ามีจุดร่วมกับโปรเจกต์ obscure อื่น ๆ ก็อาจเป็นสัญญาณว่าบัญชีเหล่านั้นเป็น บัญชีหุ่นเชิด
    • ดูเหมือนเพิ่งถูกถอดลงไปแล้ว
    • ผมรายงาน repository นี้ว่าเป็น มัลแวร์ ไปแล้ว จะดูว่าถูกจัดการอย่างไร
  • สงสัยว่าเว็บไซต์ดาวน์โหลดยอดนิยมเชื่อถือได้แค่ไหน
    เช่น ไบนารี ffmpeg สำหรับ Windows[1] ถูกโฮสต์อยู่บนเว็บไซต์ของบุคคลหนึ่ง
    แม้จะตรวจ checksum อะไรพวกนั้นได้ แต่ก็ยังไม่มีหลักประกันว่าเชื่อมโยงกับ Git commit ใดจริง ๆ
    สำหรับการดาวน์โหลดที่ไม่ใช่ GitHub/ไม่ใช่โฮสต์ทางการ และไม่มี build ที่ทำซ้ำได้หรือพิสูจน์ได้ ผมจะถือโดยปริยายว่าเป็นผู้ปฏิบัติการระดับรัฐ
    ผมระแวงเกินไปไหม? package manager ของ Linux/Mac แก้เรื่องนี้อย่างไร?
    [1] https://ffmpeg.org/download.html

    • แม้แต่ไบนารีบนเว็บไซต์ทางการเองก็ยังโดนได้ หากเว็บไซต์ถูกแฮ็กและ checksum ถูกเปลี่ยนไปด้วย
      เรื่องนี้เคยเกิดขึ้นจริงกับ Linux Mint
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • ทำไมถึงเชื่อ GitHub ล่ะ? เครื่องมือ GetSymbol ก็ได้ 215 ดาว ที่นั่นเหมือนกัน
      ถ้าไม่เข้าไปดู issue ก็จะดูปกติสมบูรณ์แบบ
      https://github.com/dbgsymbol/getsymbol
    • mpv ก็มีปัญหาเดียวกัน: https://mpv.io/installation/
      ดาวน์โหลดสำหรับ Windows ให้บริการโดย "shinchiro" บน SourceForge และดาวน์โหลดสำหรับ MacOS ให้บริการโดย "stolendata" จาก stolendata.net
    • package manager ของ Linux/Mac ไม่ได้แก้ด้วยการ build ไบนารีจากซอร์สแล้วโฮสต์ไว้บนเซิร์ฟเวอร์ของตัวเองหรือ?
    • คำค้น/บัซเวิร์ดในวงการนี้คือ Reproducible Builds (การ build ที่ทำซ้ำได้)
      ตอนนี้ยังค่อนข้างอยู่ในช่วงเริ่มต้น
  • ไม่ได้ช็อกหรือนับว่าใหม่ แต่ก็น่าสนใจ
    ทำไมถึงใช้ 0-day กับนักวิจัยความปลอดภัย? เดาว่ามันเป็นการทดสอบที่มีข้อดี
    ถ้าใช้ได้ผลกับนักวิจัยความปลอดภัย ก็ถือว่าเป็นช่องโหว่ที่ดีพอจะนำไปใช้จริง และในระยะยาวก็คงคำนวณไว้ด้วยว่าอาจได้ 0-day จำนวน 1+x รายการ จากนักวิจัยคนนั้น
    สำหรับนักวิจัยความปลอดภัยเอง นี่ก็เป็นสถานการณ์ที่น่าสนใจ
    ถ้าระวังตัวมากพอและแกล้งโง่ได้เนียนพอ ก็อาจเก็บเกี่ยวเวกเตอร์โจมตีใหม่ ๆ หรือ 0-day ได้ “ฟรี ๆ” แต่ถ้าประเมินตัวเองสูงเกินไปก็โดนเล่นทันที

    • โดยทั่วไป นักวิจัยความปลอดภัยมี 0-day อยู่มากกว่า
    • หรือไม่ก็อาจแค่เล็ง สิทธิ์การเข้าถึง ที่เป้าหมายมีอยู่
    • อันนี้ชัดเลยว่าเป็นเพราะเกาหลีเหนือไม่อยากจ่าย ราคาตลาด ของ 0-day
  • เครื่องมือนี้ยังมีฟังก์ชันดาวน์โหลดและรันโค้ดตามอำเภอใจจากโดเมนที่ผู้โจมตีควบคุมด้วย
    พูดอีกอย่างก็คือ อัปเดตอัตโนมัติ
    เป็นเพราะ Big Tech ปลูกฝังให้สาธารณชนยอมรับการพึ่งพาแบบนี้ หรือไม่ก็ลบทางเลือกอื่นออกไป และตอนนี้น่าขันตรงที่ท่าทีแบบพึ่งพาและเชื่อใจนั้นแพร่ไปถึงนักวิจัยความปลอดภัยจนย้อนกลับมากัดเอง
    พวกเราบางคนรู้ตั้งแต่แรกแล้วว่าท่าทีแบบนี้จะนำไปสู่อะไร และไม่ใช่ทุกคนที่เป็นนักวิจัยความปลอดภัยด้วย
    แค่เราเคยเห็นผลเสียอื่น ๆ ที่เกิดจากการอนุญาตให้ใครบางคนผลักอะไรบางอย่างลงมาในเครื่องของเราแล้วสั่งรัน จากนั้นก็เชื่อมโยงสองเรื่องเข้าด้วยกันเท่านั้น

  • เดาล้วน ๆ แต่ว่าอัปเดตความปลอดภัย macOS ตัวใหม่เพิ่งออกมา และมีข้อความแบบนี้
    “ผลกระทบ: การประมวลผลภาพที่ถูกสร้างขึ้นอย่างประสงค์ร้ายอาจนำไปสู่การรันโค้ดตามอำเภอใจ Apple รับทราบรายงานว่าปัญหานี้อาจถูกใช้โจมตีจริงแล้ว”
    https://support.apple.com/en-us/HT213906
    ผมไม่ใช่นักพนัน แต่ขอเดาว่าช่องโหว่ที่กำลังพูดถึงกันคืออันนี้

    • ดีแล้วที่ไม่ใช่นักพนัน เพราะถ้าพนันก็คงแพ้
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
    • iPad/iPhone OS ก็มีอัปเดตออกมา และมีการกล่าวถึงปัญหา Wallet เพิ่มเติมด้วย ดังนั้นสุดท้ายอาจไม่เกี่ยวกันก็ได้
      https://support.apple.com/en-us/HT213905
    • เพิ่งมีประกาศเรื่อง zero-click exploit ของ NSO ตัวใหม่ที่พบในสภาพแวดล้อมจริง ดังนั้นน่าจะเป็นเพราะทางนั้นมากกว่า
  • สิ่งที่สงสัยคือเรื่องนี้
    คนเกาหลีเหนือพวกนี้ ถ้าจะหา 0-day ก็น่าจะจำเป็นในทางปฏิบัติ จึงชัดเจนว่าต้องมีสิทธิ์เข้าถึงอินเทอร์เน็ตแบบไม่ถูกจำกัด และก็ชัดเจนว่าต้องเข้าใจภาษาอังกฤษอย่างน้อยในระดับหนึ่ง
    แล้วทำไมพวกเขาถึงไม่บังเอิญเจอสื่อที่เผยให้เห็นสิ่งที่สื่อรัฐปกปิดไว้บ้างเลย?

    • “สายลับของเราทุกคนเป็นผู้รักชาติที่จงรักภักดี ส่วนสายลับฝั่งโน้นทุกคนเป็นตัวประกันที่ถูกล้างสมอง!”
      ในความเป็นจริง ก็คงคัดเลือกโดยดูที่ ความรักชาติ เหมือนหน่วยข่าวกรองของประเทศอื่นๆ อยู่แล้ว
      คำถามนี้คล้ายกับการถามว่าทำไมเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้เห็นข้อมูลเกี่ยวกับเกาหลีเหนือมากกว่าแค่โฆษณาชวนเชื่อ ถึงไม่ลี้ภัยไปเกาหลีเหนือเพราะเกาหลีเหนือมีหลักประกันด้านสาธารณสุขที่ดีกว่า โรงเรียนไม่มีเหตุกราดยิง และจัดการขยะได้ดีกว่า
      พวกเขาอาจไม่ได้ให้คุณค่ากับแง่มุมที่ดูดีกว่าในสังคมเกาหลีเหนือ และอาจไม่เชื่อด้วยซ้ำว่าในบางสถานการณ์มันดีกว่าจริง
      ผมไม่เห็นเหตุผลมากนักว่าทำไมหน่วยข่าวกรองเกาหลีเหนือถึงจะแตกต่าง
    • คิดว่าหน่วยข่าวกรองเกาหลีเหนือไม่รู้เนื้อหาของสื่อตะวันตกหรือ?
      น่าจะรู้อยู่แล้ว
      เพียงแต่มีวิธีอื่นในการควบคุมคนเหล่านี้ แครอตคือ อภิสิทธิ์ ภายในเกาหลีเหนือ ส่วนไม้เรียวคือผลลัพธ์ที่จะเกิดกับตัวเองและครอบครัวเมื่อข้ามเส้น
    • ดูเหมือนพวกเขาไม่มีตัวเลือกมากนัก
      การไปประเทศที่เสรีกว่านั้นยากสำหรับชาวเกาหลีเหนือทุกคน และเพราะทั้งแครอตกับไม้เรียว พวกเขาคงเลิกแฮ็กเฉยๆ ไม่ได้
      น่าจะถูกเฝ้าระวังอย่างใกล้ชิดด้วย
      บางคนอาจเชื่อโฆษณาชวนเชื่อจริงๆ และคนเหล่านี้ก็น่าจะได้รับการปฏิบัติค่อนข้างดี
    • พวกเขาอาจรู้สึกสบายใจขึ้นเสียด้วยซ้ำเมื่อเห็นเรื่องบ้าๆ ที่เครื่องจักรโฆษณาชวนเชื่อตะวันตกประโคมใส่เกาหลีเหนือ
      แต่นั่นไม่ได้ทำให้ความผิดของเกาหลีเหนือได้รับการยกเว้น
    • พอดแคสต์ BBC ที่ยอดเยี่ยม The Lazarus Heist พูดถึงชีวิตของแฮกเกอร์เกาหลีเหนืออยู่พอสมควร: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      พวกเขาถูกเฝ้าระวังอย่างใกล้ชิดในที่ทำงาน และมักถูกข่มขู่เรื่องครอบครัว
  • สงสัยว่าเป็นไปได้แค่ไหนที่นักวิจัยด้านความปลอดภัยจะรันไบนารี Windows ที่ได้รับจากคนแปลกหน้าทางแชต
    เรื่องนี้ตอนนี้แทบจะเป็นสามัญสำนึกแล้วด้วยซ้ำ ไม่ใช่แค่พื้นฐานก่อนเข้าวงการความปลอดภัย
    กลับกัน ผมคิดว่านักวิจัยน่าจะได้โอกาสนำไบนารีนั้นไปลองเล่นในสภาพแวดล้อมที่ปลอดภัยมากกว่า
    ผู้โจมตีเปิดซอร์สโค้ดไว้แล้วด้วยซ้ำ จึงไม่จำเป็นต้องทำ reverse engineering
    เป็น black hat ใจดีนี่เอง
    ว่าแต่มีใครช่วยหา exploit ใน repository ที่ลิงก์ไว้ได้ไหม? อยากรู้ว่ามันทำอะไร แต่ขี้เกียจไล่ดูทุกไฟล์
    บทความต้นฉบับก็น่าจะลิงก์ไว้ และบอกได้ด้วยว่ามีหลักฐานอะไรที่ทำให้ตัดสินว่าโปรเจกต์นี้เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ

    • เกิดขึ้นบ่อยกว่าที่คิดมาก
      ผู้ปฏิบัติงานด้านความมั่นคงสารสนเทศรุ่นใหม่มักถูกสนับสนุนให้สอบใบรับรองอย่าง OSCP, eJPT และในธุรกิจขายใบรับรองแบบนี้ มักต้องเจาะกล่องที่รู้จักกันอยู่แล้ว
      เลยเกิดวัฒนธรรม “ช่วยกัน” ในเซิร์ฟเวอร์ Discord และส่วนหนึ่งของความช่วยเหลือนั้นมาในรูปไบนารีหรือซอร์สโค้ดที่ถูกทำให้อ่านยาก
      แล้วก็เอาไปรันบนแล็ปท็อปที่ใช้ทำงาน penetration test
      แล็ปท็อปเครื่องนั้นมีคีย์ SSH สำหรับเข้าเซิร์ฟเวอร์เขียนรายงาน และท้ายที่สุดถ้าโดนเจาะ เกาหลีเหนือก็จะเข้าถึงข้อมูลบริษัทเอกชนของสหรัฐฯ และช่องโหว่ต่างๆ ได้
      อาจเคยเห็นเรื่องแบบนี้เกิดขึ้นจริงมาแล้วก็ได้
    • ภัยคุกคามที่พวกเขาพูดถึงไม่ใช่อันนั้น
      เนื้อหาคือมีเอกสารที่บางโปรแกรมอ่านแล้วใช้ประโยชน์จาก 0-day และพวกเขาได้รับเอกสารนั้น
    • ถ้าถามถึงหลักฐานว่าโปรเจกต์นี้เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ ก็เดาได้ค่อนข้างสมเหตุสมผลว่า เมื่อมีการทำ attribution ด้วยความมั่นใจพอสมควรแต่ไม่เปิดเผยวิธีการ นั่นเป็นเพราะไม่อยากเผา แหล่งข้อมูลหรือตัวบ่งชี้ ที่อาจยังมีประโยชน์ต่อไป
      เพราะถ้าเปิดเผยแล้วก็คงใช้ไม่ได้อีก
    • ประโยคที่ว่า “ผู้ก่อภัยคุกคามส่งไฟล์อันตรายที่มี 0-day อย่างน้อยหนึ่งรายการของแพ็กเกจซอฟต์แวร์ยอดนิยม” หมายความว่ามันไม่ใช่ไฟล์ปฏิบัติการ
    • แก่นของการเริ่มต้นด้านความปลอดภัยคือ สักวันทุกคนจะพลาด ทุกคน
      ถ้าสภาพแวดล้อมของนักวิจัยด้านความปลอดภัยไม่ได้ออกแบบมาดีพอ ไม่ว่าจะเพราะปัญหางบประมาณหรือความสะเพร่า เรื่องแบบนี้เกิดขึ้นจริงได้ และผู้โจมตีสามารถเข้าถึงเนื้อในแสนอร่อยได้อย่างรวดเร็ว
  • กังวลที่นักวิจัย attribution แคมเปญแบบนี้อย่างสบายๆ เกินไป
    วิธีการ attribution ไม่เคยถูกบอก แต่สิ่งที่คนไม่ใช่สายเทคนิคให้ความสนใจมากที่สุดมักเป็น attribution เสมอ
    ดูแค่บทความนี้ สองคำแรกก็เป็นผู้ก่อเหตุที่ถูก attribution แล้ว
    แต่ไม่มีทางพิสูจน์ได้เลย
    บนอินเทอร์เน็ต attribution นั้นยากมาก ยากจริงๆ ยากสุดๆ
    เราไม่มีวิธีตัดสินอย่างอิสระว่าเราถูกหรือผิด จึงไม่รู้ด้วยซ้ำว่ามันยากแค่ไหน
    ถ้าคิดว่า attribution ไม่เกี่ยวข้องกับแรงจูงใจทางการเมืองเลย ก็คงไร้เดียงสา

    • Citlab ร่วมมือกับ data broker เอกชนหลายรายเพื่อให้ได้ข่าวกรองความปลอดภัยเชิงพาณิชย์ และก็มักถูกอ้างถึงในรายงานด้วย
      จากสิ่งนี้จึงถือว่า attribution โดยทั่วไปค่อนข้างแม่นยำ
      แต่ถ้าถอยออกมามองอย่างเป็นกลาง ก็จะเห็นว่ามันค่อนข้างเสแสร้ง เพราะแหล่งที่มาของข่าวกรองนั้น ละเมิดความเป็นส่วนตัว
  • น่าประหลาดใจที่เกาหลีเหนือยังหานักแฮ็กและบุคลากรไซเบอร์ซีเคียวริตี้ระดับสูงได้มากพอจะทำเรื่องแบบนี้ ทั้งที่ระดับการศึกษาด้านคอมพิวเตอร์ของประชากรโดยรวมอ่อนแอมาก

    • จากที่อ่านจากผู้เชี่ยวชาญเกาหลีเหนือ เกาหลีเหนือจงใจสร้างแฮกเกอร์อย่างเข้มข้น
      ถ้าเด็กเกาหลีเหนือคนหนึ่งแสดงพรสวรรค์ทางคณิตศาสตร์ ก็จะถูกจับตา และถ้าเก่งพอ จะถูกส่งไป โรงเรียนคณิตศาสตร์พิเศษ ซึ่งแทบจะไม่ได้เรียนอย่างอื่นเลย
      จากนั้นถูกส่งไปมหาวิทยาลัยเทคนิคแห่งเดียว เพื่อเรียนการเขียนโปรแกรมคอมพิวเตอร์อย่างเข้มข้นเป็นเวลาหลายปี
      หากผ่านเกณฑ์ ก็จะถูกส่งไปจีน และใช้อินเทอร์เน็ตที่เข้าถึงได้ดีกว่าเพื่อทำตั้งแต่ขโมยทองใน MMORPG ไปจนถึงโจมตีฟิชชิงและค้นหา 0-day
      ฟังดูเป็นชีวิตที่มืดมน ทำงานวันละ 12 ชั่วโมง ถูกกดดันเรื่องผลงานตลอดเวลา และอยู่หอพักคับแคบ
      เพราะงั้นก็คล้าย Silicon Valley อยู่เหมือนกัน ;)
    • ชาวเกาหลีเหนือที่ร่ำรวยหรือมีเส้นสายได้รับการศึกษาจากโรงเรียนชั้นนำหลายแห่งในตะวันตกและจีน
      แม้แต่ผู้นำเผด็จการสูงสุดก็เคยเรียนมัธยมต้นและมัธยมปลายในสวิตเซอร์แลนด์
    • แทบจะแน่นอนว่าพวกเขาน่าจะดึงใช้ talent pool จากหนึ่งในประเทศรอบข้าง
  • “เว็บไซต์และโดเมนทั้งหมดที่ได้รับการยืนยันทันทีที่พบ จะถูกเพิ่มเข้า Safe Browsing เพื่อปกป้องผู้ใช้จากการถูกโจมตีเพิ่มเติม”
    ในเบราว์เซอร์ Brave, dbgsymbol.com ไม่ขึ้น คำเตือน Safe Browsing
    คำเตือน: เวกเตอร์ยังไม่ทราบ

    • Safe Browsing ไม่ได้มีไว้ตรวจจับการแฮ็ก แต่มีไว้ให้ Google เฝ้าดูผู้ใช้ได้ง่ายๆ