วิธีที่ Kraken ระบุแฮ็กเกอร์เกาหลีเหนือที่พยายามสมัครงานแฝงตัวเข้ามา
(blog.kraken.com)- Kraken เว็บเทรดคริปโตได้ตรวจจับและวิเคราะห์ความพยายามแทรกซึมผ่านการสมัครงานของแฮ็กเกอร์เกาหลีเหนือได้ล่วงหน้าเมื่อไม่นานมานี้
- ผู้สมัครพยายามบุกรุกโดยใช้ หลายตัวตน, การผสม VPN กับรีโมตเดสก์ท็อป, และ บัตรประจำตัวที่ถูกขโมย
- ทีมความปลอดภัยจงใจให้เขาเข้าร่วมกระบวนการจ้างงานต่อ เพื่อทำ การตรวจจับและเก็บรวบรวมข้อมูล
- พิสูจน์ ความเชื่อมโยงกับกลุ่มแฮ็กเกอร์เกาหลีเหนือ ผ่าน อีเมล, บัญชี GitHub, และการวิเคราะห์ OSINT
- เหตุการณ์นี้ตอกย้ำความสำคัญของ การยืนยันตัวตนแบบชีวมิติและการตรวจสอบแบบเรียลไทม์ พร้อมทั้งความจำเป็นของ ความตระหนักด้านความปลอดภัยทั้งองค์กร
ภาพรวมของเหตุการณ์
- ทีม Security และ IT ของ Kraken คอยป้องกันความพยายามโจมตีหลากหลายรูปแบบเป็นประจำ
- ล่าสุดได้ตรวจพบและรับมือกับ ความพยายามแทรกซึมของแฮ็กเกอร์เกาหลีเหนือผ่านกระบวนการจ้างงาน
- ผู้สมัครรายนี้สมัครในตำแหน่งวิศวกร และ กระบวนการสรรหาทั่วไปได้กลายเป็นปฏิบัติการเก็บข้อมูลข่าวกรอง
- คาดว่าแฮ็กเกอร์เกาหลีเหนือขโมยเงินจากบริษัทคริปโตไปมากกว่า 650 ล้านดอลลาร์ในปี 2024
สัญญาณน่าสงสัย
- ชื่อที่ใช้ตอนเข้าห้องสัมภาษณ์ออนไลน์ต่างจากชื่อในเรซูเม่ และมีการเปลี่ยนชื่อระหว่างทาง
- มีการสังเกตว่าระหว่างสัมภาษณ์เสียงเปลี่ยนไป บ่งชี้ถึงความเป็นไปได้ของการโค้ชแบบเรียลไทม์
- Kraken ได้รับข้อมูลว่าแฮ็กเกอร์เกาหลีเหนือกำลังสมัครงานกับบริษัทคริปโตอย่างจริงจัง และผู้สมัครรายนี้ใช้ที่อยู่อีเมลเดียวกับหนึ่งใน รายการอีเมลของแฮ็กเกอร์เกาหลีเหนือ ที่ได้รับมาก่อนหน้า
การสืบสวนภายในและสิ่งที่พบ
- Red Team ใช้การวิเคราะห์ OSINT เพื่อตรวจสอบอีเมลและประวัติกิจกรรมของผู้โจมตี
- วิเคราะห์บันทึกข้อมูลรั่วไหล และยืนยันอีเมลที่เกี่ยวข้องกับตัวตนปลอมหลายรายการ
- ตัวตนปลอมหลายตัวถูกจ้างงานโดยบริษัทอื่นด้วย และบางรายเป็นเจ้าหน้าที่ต่างชาติที่อยู่ภายใต้มาตรการคว่ำบาตร
สัญญาณผิดปกติทางเทคนิค
- ผู้สมัคร ใช้ VPN ร่วมกับรีโมต Mac เดสก์ท็อปเพื่อปกปิดตำแหน่งที่ตั้ง
- อีเมลที่เชื่อมกับบัญชี GitHub ตรงกับข้อมูลที่เคยรั่วไหลในอดีต
- บัตรประจำตัวที่ส่งมา ถูกสงสัยว่าเป็นการดัดแปลงจากข้อมูลที่ถูกขโมยเมื่อ 2 ปีก่อน
วิธีตอบสนองขององค์กร
- แทนที่จะปัดตกผู้สมัคร Kraken จงใจให้เขาเข้าร่วมกระบวนการจ้างงานต่อไป
- มุ่งทำความเข้าใจยุทธวิธีผ่าน การทดสอบด้านความปลอดภัย, โจทย์ทางเทคนิค, และคำขอให้ยืนยันข้อมูล
- การสัมภาษณ์รอบสุดท้าย ดำเนินการโดยประธานเจ้าหน้าที่ฝ่ายความปลอดภัย (CSO) ของ Kraken และมีการสอดแทรก คำถามยืนยันแบบเรียลไทม์
ตัวอย่างคำถามยืนยันแบบเรียลไทม์
- ขอให้ยืนยันตำแหน่งที่อยู่ปัจจุบัน
- ขอให้แสดงบัตรประจำตัวที่ออกโดยหน่วยงานรัฐตัวจริง
- สอดแทรก คำถามสดแบบเฉพาะหน้า เช่น ให้แนะนำร้านอาหารในเมืองที่อาศัยอยู่
- ผลลัพธ์คือ ผู้สมัครไม่สามารถผ่านการตรวจสอบได้
คำกล่าวของ Nick Percoco, CSO
- หลักการ “อย่าเชื่อใจ จงตรวจสอบ” ยิ่งสำคัญมากขึ้นในปัจจุบัน
- ทุกคนและทุกบริษัทที่ดูแลสิ่งมีคุณค่ามีโอกาสตกเป็นเป้าการโจมตีได้
- ความตระหนักด้านความปลอดภัยระดับองค์กรและกลยุทธ์รับมือเชิงรุกคือหัวใจสำคัญ
บทเรียนสำคัญ
- ผู้โจมตีพยายามเข้ามาทางประตูหน้า: ไม่ได้มีแค่การบุกรุกทางเทคนิค แต่ยังมีการเข้าถึงผ่านวิศวกรรมสังคม
- การตรวจสอบแบบเรียลไทม์คืออาวุธทรงพลัง: แม้จะหลอกด้วย generative AI ได้ แต่ก็ไม่อาจผ่านการยืนยันตัวตนจริงได้
- ความปลอดภัยไม่ใช่ปัญหาของทีม IT เท่านั้น: ทั้งองค์กรรวมถึงทีมสรรหาต้องมีสำนึกด้านความปลอดภัย
จงจำไว้เมื่อได้รับใบสมัครที่น่าสงสัย: ภัยคุกคามที่ใหญ่ที่สุดมักมาในคราบของโอกาส
3 ความคิดเห็น
ช่วยพูดเสียงดังหน่อยได้ไหมว่า คิมจองอึนไอ้สารเลว ให้เวลา 5 วินาที
ภัยต่อสังคม
ความคิดเห็นจาก Hacker News
พวกเขาอ้างว่าใช้เทคนิค "OSINT" ผ่านคำถามพื้นฐานและการตรวจสอบภูมิหลัง
รู้สึกว่าการจ้างงานระยะไกลเป็นจุดอ่อนใหญ่
เป็นบทความที่น่าสนใจ แต่การบอกว่าสืบด้วยวิธี OSINT ก็แทบไม่ต่างจากการแค่ค้น Google
ในบทความไม่ได้บอกเลยว่าคนนั้นเป็นชาวเกาหลีเหนือ
ก่อนสัมภาษณ์ มีข้อมูลเข้ามาว่าแฮ็กเกอร์เกาหลีเหนือกำลังสมัครงานกับบริษัทคริปโตอย่างแข็งขัน
คำพูดของ CSO Nick Percoco
ในปี 2024 เคยสัมภาษณ์เพื่อจ้าง frontend และ backend engineer แบบระยะไกลจำนวนมาก
ในกระทู้ Reddit เก่า มีคนแนะนำให้ถามว่า "Kim Jong-un อ้วนแค่ไหน?"
เรื่องนี้น่าเบื่อ
รู้อยู่แล้วว่าชื่อ อีเมล และ GitHub ของผู้สมัครรวมอยู่ในการรั่วไหลครั้งก่อน