วิธีที่กลยุทธ์ขโมยข้อมูลรับรองของเกาหลีเหนือถูกเปิดโปงผ่านดัมป์ 'Kim'

 (dti.domaintools.com)
2 คะแนน โดย GN⁺ 2025-09-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • จากเหตุการณ์ ดัมป์ 'Kim' ล่าสุด ทำให้วิธีการ ขโมยข้อมูลรับรอง ของเกาหลีเหนือถูกเปิดเผย
  • แฮ็กเกอร์เกาหลีเหนือใช้งาน เว็บไซต์ฟิชชิง และเทคนิค social engineering อย่างเข้มข้น
  • กลุ่มนี้มุ่งเป้าไปที่ ประเทศตะวันตก และบริษัทไอทีเป็นหลัก
  • รูปแบบการโจมตีส่วนใหญ่เกี่ยวข้องกับการขโมย ข้อมูลบัญชีอีเมล
  • การเปิดโปงครั้งนี้ทำให้ หลายบริษัทรวมถึงในสหรัฐฯ เพิ่มระดับการเฝ้าระวังด้านความปลอดภัย

ภาพรวมของเหตุการณ์ดัมป์ “Kim”

  • เหตุการณ์ดัมป์ 'Kim' ที่เกิดขึ้นล่าสุดเผยให้เห็นว่าเกาหลีเหนือได้ดำเนินปฏิบัติการ ขโมยข้อมูลรับรองขนาดใหญ่ อย่างเป็นระบบ
  • ดาต้าดัมป์ดังกล่าวถูกแชร์บนหลายแพลตฟอร์มไอทีและคอมมูนิตี้ ทำให้รายละเอียดของวิธีโจมตีถูกเปิดเผย

วิธีการแฮ็กหลักของเกาหลีเหนือ

  • กลุ่มแฮ็กเกอร์เกาหลีเหนือเก็บรวบรวม ข้อมูลเข้าสู่ระบบ ของผู้ใช้ผ่าน อีเมลฟิชชิง และเว็บไซต์เลียนแบบ
  • เว็บไซต์ฟิชชิงเหล่านี้ถูกสร้างให้คล้ายกับเว็บจริงมาก ทำให้เมื่อเหยื่อกรอก ข้อมูลบัญชีของตนเอง ข้อมูลจะถูกขโมยโดยอัตโนมัติ
  • ยังมีการใช้เทคนิค social engineering อย่างจริงจังเพื่อโจมตีจุดอ่อนทางจิตวิทยาของผู้ใช้

เป้าหมายและวัตถุประสงค์ของการโจมตี

  • เป้าหมายหลักคือ บริษัทไอทีในโลกตะวันตก เช่น สหรัฐฯ และยุโรป รวมถึงองค์กรด้านความปลอดภัย
  • บุคลากรที่มี สิทธิ์การเข้าถึงสูง ภายในองค์กร เช่น ฝ่ายบุคคล นักพัฒนา และผู้ดูแลระบบ เป็นเป้าหมายที่ถูกโจมตีอย่างเข้มข้น
  • ยืนยันได้ว่าจุดประสงค์คือใช้ข้อมูลรับรองที่ขโมยมาเพื่อ เข้าถึงข้อมูลภายใน และเปิดเส้นทางสำหรับการโจมตีเพิ่มเติม

ความหมายด้านความปลอดภัยและผลกระทบ

  • ดัมป์ 'Kim' ช่วยให้เห็นรูปแบบการโจมตีจริงและแนวโน้ม การพัฒนาเชิงยุทธวิธี ของเกาหลีเหนือ
  • ในอุตสาหกรรมไอทีทั่วโลกได้เกิดการหารืออย่างคึกคักเรื่อง การยกระดับการเฝ้าระวังด้านความปลอดภัย และการปรับนโยบายจัดการข้อมูลรับรองใหม่
  • บริษัทและหน่วยงานที่เกี่ยวข้องกำลังเพิ่มการมอนิเตอร์แบบเรียลไทม์และ เสริมการฝึกตอบสนองต่อฟิชชิง

บทสรุปและโจทย์ต่อจากนี้

  • กิจกรรมของกลุ่มแฮ็กเกอร์เกาหลีเหนือยังคง พัฒนาอย่างต่อเนื่อง และกำลังมีวิธีการที่ซับซ้อนยิ่งขึ้น
  • จำเป็นต้องยกระดับ การตระหนักรู้ด้านความปลอดภัย ของบุคลากรในอุตสาหกรรมไอทีและทั้งองค์กร พร้อมสร้างระบบรับมือแบบหลายชั้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-09-07
ความคิดเห็นบน Hacker News

  • ฉันคิดว่าแฮ็กเกอร์ที่รับผิดชอบต่อการรั่วไหลครั้งนี้ก็คือคนกลุ่มนี้เอง ลองดู บทความที่เกี่ยวข้องบน phrack.org

    • จะเห็นมุมมองแบบชนชั้นนำของแฮ็กเกอร์ในคำกล่าวคลาสสิกว่า "ฉันคือแฮ็กเกอร์ และฉันตรงข้ามกับพวกคุณโดยสิ้นเชิง ในโลกของฉันทุกคนเท่าเทียมกัน เราไม่มีสีผิว ไม่มีสัญชาติ ไม่มีจุดมุ่งหมายทางการเมือง และไม่ได้เป็นทาสของใคร" แต่พื้นที่ที่อ้างว่า "ทุกคนเท่าเทียมกัน" แบบนี้ เป็นภาพลวงตาที่ใช้ได้จริงแค่กับคนบางประเภทเท่านั้น

  • ประเด็นที่น่าสนใจในกรณีนี้คือมีความเชื่อมโยงระหว่าง DPRK (เกาหลีเหนือ) กับ PRC (จีน) อยู่ด้วย ยากจะรู้ว่าการประสานงานระหว่างทั้งสองลึกแค่ไหน แต่ชัดเจนว่าไม่ได้เป็นอิสระจากกันโดยสมบูรณ์ เลยสงสัยว่าการระบุชื่อกันอย่างเปิดเผยแบบนี้จะทำให้ PRC ปฏิเสธความเกี่ยวข้องกับ DPRK และปฏิบัติการของตนเองได้ยากขึ้นหรือไม่

    • ต่อให้ปักกิ่งไม่พอใจกับการกระทำของเปียงยาง เกาหลีเหนือก็ยังมีความสำคัญเชิงยุทธศาสตร์ต่อจีนมากเกินกว่าที่การสนับสนุนของจีนจะสั่นคลอนหรือแม้แต่พยายามปกปิดมัน
    • ณ ตอนนี้ดูเหมือนยังไม่มีหลักฐานเด็ดชัดเจนที่ทำให้ PRC ปฏิเสธการมีส่วนเกี่ยวข้องของตนเองไม่ได้
    • การที่จีนสนับสนุนเกาหลีเหนือไม่ใช่ความลับอีกต่อไป และก็อยู่ในระดับที่คล้ายกับที่สหรัฐสนับสนุนเกาหลีใต้ หากดูจากภูมิรัฐศาสตร์ จีนยิ่งมีเหตุผลรองรับมากกว่า หากอยากเข้าใจบริบทนี้ก็ควรดู Monroe Doctrine วิกฤตการณ์ขีปนาวุธคิวบาเองก็ควรถูกมองว่าเป็น Turkey Missile Crisis มากกว่า เมื่อสหรัฐนำขีปนาวุธนิวเคลียร์ Jupiter ไปติดตั้งในตุรกี สหภาพโซเวียตก็ตอบโต้ด้วยการติดตั้งในคิวบา สุดท้ายสถานการณ์เกือบลุกลามเป็นสงครามโลก แต่โซเวียตถอย และขีปนาวุธในตุรกีก็ถูกถอนออกอย่างลับ ๆ ดู Monroe Doctrine, ข้อมูลเกี่ยวกับขีปนาวุธ Jupiter
    • ในชุมชนความมั่นคงปลอดภัยสารสนเทศ ความเชื่อมโยงจีน-เกาหลีเหนือเป็นเรื่องที่รู้กันกว้างขวาง จีนเป็นประเทศแรกของโลกที่จัดตั้งหน่วยไซเบอร์ทางทหารอย่างเป็นทางการ เกาหลีเหนือเดินตามมาในเชิงหารายได้ และถึงขั้นมีอสังหาริมทรัพย์อย่างโรงแรมในจีนแผ่นดินใหญ่ไว้ใช้เป็นฐานปฏิบัติการด้วย จีนยังทำหน้าที่เสมือนเป็น "ร้านซักเงิน" ที่รับดอลลาร์จากการค้ากับเกาหลีเหนือแล้วจัดหาสินค้าให้โดยพฤตินัย

  • มีการบอกว่าข้อมูลที่รั่วแสดงการใช้ GitHub repository สำหรับเครื่องมือโจมตีอย่าง TitanLdr, minbeacon, Blacklotus, CobaltStrike-Auto-Keystore เลยสงสัยว่าทำไม Github ถึงอนุญาตให้มีการพัฒนาเครื่องมือโจมตีแบบนี้ เป็นแค่เรื่องเสรีภาพในการแสดงออกหรือว่าเครื่องมือพวกนี้มีคุณค่าในเชิงวิชาการด้วย

    • เครื่องมือเหล่านี้ถูกใช้บ่อยในงาน penetration testing และ red team การแบนแบบเปิดเผยกลับยิ่งทำให้มีแต่ฝ่ายป้องกันที่ไม่รู้วิธีของผู้โจมตี และแทบไม่ขัดขวางแฮ็กเกอร์ที่มีเจตนาร้ายจริง ๆ เลย นี่เป็นข้อสรุปที่ถกเถียงกันมาหลายครั้งแล้วตั้งแต่ยุค 90 ถึง 2000
    • เป็นเครื่องมือที่นักวิจัยด้านความปลอดภัยและ pentester ใช้กันเป็นหลัก
    • งั้นก็เลยสงสัยว่าทางเลือกอื่นจะเป็นอะไรได้บ้าง
    • ก็สงสัยเหมือนกันว่า GitHub ไม่ควรบล็อกประเทศที่ถูกคว่ำบาตรอย่างอิหร่านหรือเกาหลีเหนือหรือ ลิงก์นโยบายทางการ

  • เคยได้ยินว่าในเกาหลีเหนือ คนทั่วไปเรียนหรือครอบครองคอมพิวเตอร์ได้ยาก เป็นโครงสร้างที่คัดเลือกและฝึกฝนเฉพาะชนชั้นนำส่วนน้อย แต่คนกลุ่มนี้กลับเข้าถึงเทคโนโลยีล้ำสมัยและทำการแฮ็กได้ ก็น่าทึ่งพอสมควร

    • แฮ็กเกอร์เกาหลีเหนือน่าจะอยู่ในระดับแนวหน้าของโลก เป็นไปได้หากรัฐคัดเลือกนักเรียนตั้งแต่เนิ่น ๆ แล้วฝึกอย่างเข้มข้น ฝั่งตะวันตกการศึกษาเป็นแบบทั่วไป และแม้แต่ในมหาวิทยาลัยก็แตกต่างจากงานแฮ็กเกอร์จริง ๆ แฮ็กเกอร์อายุ 22 ในโลกตะวันตกอาจมีแค่ประสบการณ์ฝึกงาน 6 เดือน แต่แฮ็กเกอร์เกาหลีเหนือในวัยนั้นอาจสั่งสมประสบการณ์มาหลายปีแล้ว
    • ทีมจากเกาหลีเหนือก็ทำผลงานได้ดีในการแข่งขันเขียนโค้ดหลายรายการ จึงดูว่าพวกเขามีความสามารถมากในการบ่มเพาะบุคลากร IT แบบหัวกะทิจำนวนน้อย
    • มีคนตอบสนองว่า "น่าทึ่งที่พวกเขาใช้เทคโนโลยีล่าสุดมาทำการแฮ็ก" แต่จริง ๆ แล้วการคัดเลือกคนเก่งไม่ใช่เรื่องยาก และถ้ามอบแรงจูงใจกับเงื่อนไขที่ดีที่สุดให้คนกลุ่มนี้ การได้แฮ็กเกอร์ที่มีความสามารถก็เป็นเรื่องแทบจะหลีกเลี่ยงไม่ได้

  • ชุดข้อมูลที่รั่วและเชื่อมโยงกับโอเปอเรเตอร์ชื่อ "Kim" แสดงภาพปฏิบัติการไซเบอร์ของเกาหลีเหนืออย่างเป็นรูปธรรม แต่ก็ยังเข้าใจยากว่าทำไมแฮ็กเกอร์เกาหลีเหนือถึงทิ้งร่องรอยไว้ตรง ๆ แบบนั้น ทำไมถึงไม่ทิ้งร่องรอยอ้อม ๆ ที่แนบเนียนกว่านี้ แต่กลับทิ้งเศษขนมปังที่สาวไปถึงเปียงยางได้

  • ประเด็นนี้มีหลายส่วนที่น่าสนใจในเชิงเทคนิค โครงสร้างพื้นฐานบางส่วนใช้เครื่องมือเดียวกับที่ pentester หรือผู้ดูแลงานความปลอดภัยคนอื่น ๆ ใช้กันอยู่ ซึ่งทำให้เห็นว่าอาวุธที่ "มีไว้เพื่อป้องกันอย่างเดียว" นั้นไม่มีอยู่จริง แต่ในอีกด้าน การสนทนาก็มักไหลไปสู่การวิจารณ์เกาหลีเหนือหรือจีนได้ง่ายเช่นกัน ถ้าจะชี้ให้เห็นความสองมาตรฐาน แค่พูดคำว่า "Stuxnet" กับ "Pegasus" ก็พอแล้ว

  • ความเชื่อมโยงกับจีน (Option A/B) อาจถูกขยายความเกินไปหน่อย เหตุผลที่แฮ็กเกอร์เกาหลีเหนือปฏิบัติการจากจีนอาจเป็นแค่เรื่องการเข้าถึงอินเทอร์เน็ตก็ได้ เกาหลีเหนือไม่มีอินเทอร์เน็ตสาธารณะ ดังนั้นการอยู่ในจีนเพื่อใช้อินเทอร์เน็ต หรือแสร้งเป็นคนจีน ก็อาจเป็นไปได้โดยไม่จำเป็นต้องแปลว่าถูกฝ่ายจีนควบคุม

  • นี่เป็นการวิเคราะห์ APT workflow ที่ละเอียดมาก การเปิดเผยระดับนี้เสี่ยงที่ผู้โจมตีทั่วไปจะพยายามคัดลอกวิธีคล้าย ๆ กันเพื่อไล่ตามระดับดังกล่าว

    • การเปิดเผยข้อมูลมีความเสี่ยงที่จะก่อให้เกิดผู้เลียนแบบ แต่ในอีกด้านก็อาจช่วยให้คนที่ต้องวางกลยุทธ์ป้องกันผู้โจมตีแบบนี้มีข้อมูลประกอบการตัดสินใจ การพยายามกันไม่ให้มีเพียงฝ่ายเดียวที่ได้ข้อมูลนั้น แทบเป็นไปไม่ได้ในทางปฏิบัติ