สภาพความมั่นคงปลอดภัยออนไลน์ของเกาหลีใต้ที่เดินมาถึงทางตัน

เมื่อวันที่ 2 มิถุนายน 2025 วงการวิชาการด้านความปลอดภัยของเกาหลีได้เผยแพร่งานวิจัยและเอกสารอื่น ๆ ที่ช่วยเติมเต็มเนื้อหานี้

• บทความวิจัยทบทวนแอป “K-security” ที่บังคับต้องติดตั้ง (syssec.kaist.ac.kr)

เมื่อไม่นานมานี้มีการประกาศว่ามีการโจมตีแฮ็กที่ใช้ INISAFE CrossWeb EX V3 ของ Initech

• คำแนะนำให้อัปเดตความปลอดภัยสำหรับ INISAFE CrossWeb EX V3 ของ Initech

• หน่วยข่าวกรองแห่งชาติ "เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ของ INISAFE ในการแฮ็ก… แนะนำให้ติดตั้งแพตช์ความปลอดภัย" (สรุป)

ตามข้อมูลของหน่วยข่าวกรองแห่งชาติ หน่วยข่าวกรองแห่งชาติ สำนักงานตำรวจแห่งชาติ สำนักงานส่งเสริมสังคมสารสนเทศแห่งเกาหลี (KISA) และสถาบันวิจัยเทคโนโลยีความมั่นคงแห่งชาติ ได้ยืนยันว่าเมื่อปลายปีก่อน เกาหลีเหนือได้ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์รับรองความปลอดภัยทางการเงิน 'INISAFE' ของ Initech บริษัทผู้เชี่ยวชาญด้านการเงินและความปลอดภัยในเครือ KT[030200] เพื่อแฮ็กพีซีราว 210 เครื่องในหน่วยงานสำคัญทั้งในและต่างประเทศประมาณ 60 แห่ง รวมถึงหน่วยงานของรัฐ หน่วยงานสาธารณะ และบริษัทด้านกลาโหมและไบโอ
ซอฟต์แวร์ที่ถูกใช้ในการแฮ็กคือเวอร์ชัน 'INISAFE CrossWeb EX V3 3.3.2.40' และต่ำกว่า ซึ่งเป็นซอฟต์แวร์ใบรับรองสำหรับภาคการเงินอิเล็กทรอนิกส์และภาครัฐ โดยคาดว่ามีการติดตั้งอยู่บนพีซีของหน่วยงาน บริษัท และผู้ใช้ส่วนบุคคลทั้งในและต่างประเทศมากกว่า 10 ล้านเครื่อง

• เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์รับรองความปลอดภัยทางการเงินเพื่อแฮ็ก... แนะนำให้อัปเดตความปลอดภัย

หน่วยข่าวกรองแห่งชาติระบุว่า “เราได้เริ่มตอบสนองฉุกเฉินตั้งแต่เดือนมกราคมปีนี้ และได้เสร็จสิ้นการวิเคราะห์โดยละเอียดเกี่ยวกับหลักการทำงานของมัลแวร์ดังกล่าว” พร้อมเสริมว่า “โดยอ้างอิงจากข้อมูลการวิเคราะห์นี้ เราได้ร่วมมือกับบริษัท A เพื่อสาธิตการโจมตีและการป้องกันจริง และพัฒนาแพตช์ความปลอดภัยเสร็จสิ้นแล้ว”

• แฮ็กเกอร์เกาหลีเหนือเจาะ Initech บริษัทความปลอดภัยทางการเงินของ KT··· หน่วยข่าวกรองแห่งชาติและ KISA เป็นผู้ตรวจพบ

Initech ระบุว่า เมื่อเดือนมกราคมที่ผ่านมา หลังจากที่ผู้เชี่ยวชาญด้านความปลอดภัยชาวเยอรมัน Wladimir Palant ชี้ผ่านโพสต์ว่าซอฟต์แวร์ความปลอดภัยทางการเงินในประเทศจำนวนมากมีปัญหา และมีภาพผลิตภัณฑ์ของบริษัทปรากฏอยู่ในโพสต์นั้น บริษัทจึงเริ่มตรวจสอบช่องโหว่และพบปัญหาดังกล่าว
เจ้าหน้าที่ของ Initech กล่าวว่า “หลังจากค้นพบช่องโหว่ ระหว่างที่กำลังแก้ไขปรับปรุงอยู่นั้น ทางหน่วยข่าวกรองแห่งชาติก็ได้ติดต่อมา เราพัฒนาแพตช์ความปลอดภัยเพื่อบรรเทาช่องโหว่ที่เป็นปัญหาเสร็จสิ้นเมื่อวันที่ 20 กุมภาพันธ์และกำลังเผยแพร่อยู่ ขณะนี้มีบริษัทประมาณ 40% ที่ติดตั้งแพตช์เสร็จแล้ว อย่างไรก็ตาม ยังไม่ใช่ทุกบริษัทที่อัปเดตเสร็จสิ้น จึงยังคงแนะนำให้อัปเดตอย่างต่อเนื่อง”

แม้จะเป็นเรื่องที่คาดได้อยู่แล้ว แต่คงไม่ใช่ว่ามีปัญหาเฉพาะผลิตภัณฑ์นี้เท่านั้น เท่าที่ผมทราบ ช่วงหลังยังมีข่าวว่าพบช่องโหว่ด้านความปลอดภัยในโปรแกรมใบรับรองดิจิทัลของเกาหลีอีกอย่างน้อย 2 กรณีด้วยซ้ำ แถมหนึ่งในนั้นว่ากันว่าร่องรอยของนักรบข้อมูลข่าวสารจากแดนเหนือได้สัมผัสไปแล้วด้วย

• โปรดระวังช่องโหว่ของโซลูชันใบรับรองดิจิทัล (VestCert) และแนะนำให้อัปเดต
  • โซลูชันใบรับรองดิจิทัล VestCert โปรดระวังช่องโหว่และจำเป็นต้องอัปเดต

นอกจากนี้ เมื่อจะปิดการทำงานและลบ VestCert จำเป็นต้องดำเนินการตามลำดับที่กำหนดก่อน โดยในการปิดโปรเซส ต้องไปที่แท็บโปรเซสของ Task Manager แล้วปิด Goji ก่อน จากนั้นจึงปิด VestCert หลังจากนั้นให้ตรวจสอบเวอร์ชันของ VestCert ที่ [Control Panel]-[Programs]-[Programs and Features] แล้วคลิก ‘Remove’ เพื่อลบออกอย่างสมบูรณ์

• โปรดระวังช่องโหว่ของโซลูชันใบรับรองดิจิทัล (MagicLine4NX) และแนะนำให้อัปเดต
  • ช่องโหว่ของโซลูชันใบรับรองดิจิทัล ‘MagicLine4NX’... พบร่องรอยการนำไปใช้โดย Lazarus ของเกาหลีเหนือ

กลุ่มแฮ็กเกอร์ Lazarus ได้ทำการ inject เข้าไปในโปรเซส svchost.exe ผ่านช่องโหว่ของ MagicLine4NX จากนั้นดาวน์โหลดและรันโปรแกรมอันตราย ดังนั้นหากมีการติดตั้ง MagicLineNX เวอร์ชันที่มีช่องโหว่อยู่ จำเป็นต้องลบออกทันที

ในที่สุดก็เริ่มมีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่จริงแล้ว

รายแรก(?) คือโปรแกรมรักษาความปลอดภัยคีย์บอร์ด TouchEn nxKey ของ RaonSecure
ตัวช่องโหว่เองก็เป็นปัญหาอยู่แล้ว แต่สิ่งที่น่าประทับใจมากคือแม้แต่ในกระบวนการจัดการช่องโหว่นั้นก็ยังแสดงให้เห็นถึงความหละหลวมด้วย (?)

• https://palant.info/2023/01/…
• https://th.news.hada.io/topic?id=8211

ห่านที่ออกไข่ทองคำ

ฉันได้สรุปคอมเมนต์ใน HackerNews ไว้แล้ว

• หน่วยงานกำกับดูแลทางการเงินของเกาหลีมีความอนุรักษนิยม แต่บรรดานักการเมืองและสื่อมักพยายามเข้าข้างผู้บริโภคทางการเงิน ดังนั้นแม้รหัสผ่านจะรั่วไหลเพราะคีย์ล็อกเกอร์ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้ ก็ยังโทษว่าเป็นความผิดของธนาคาร นี่คือเหตุผลที่ธนาคารต้องซื้อโปรแกรมความปลอดภัย
• ตัวสถาบันการเงินเองก็ไม่ได้ใส่ใจเรื่องความปลอดภัยนัก การใช้ OS ที่ล้าสมัยเป็นเรื่องที่พบได้บ่อยมาก

เนื้อหายาวมากขึ้นเลยสรุปไว้ในบล็อก
https://soulee.dev/2023/01/05/korean-bogus-security

หวังว่าคงจะได้อายกันในระดับนานาชาติบ้างแล้วจะได้มีการปรับปรุงนะครับ
ดูเหมือนจะมีคอมเมนต์จำนวนมากที่บอกว่าตกใจกับการที่วิธีแบบนั้นกำลังถูกใช้เป็นเครื่องมือให้บริษัทต่าง ๆ ปัดความรับผิดชอบอยู่ในตอนนี้

มีมีมจากต่างประเทศอันหนึ่งที่ว่า disappointed but not surprised ซึ่งทำให้นึกถึงขึ้นมาเลยครับ

ดูเหมือนว่าคำว่าแอปพลิเคชันความปลอดภัยปลอม ๆ เพื่อใช้ปัดความรับผิดชอบจะตรงที่สุด...

เธรด Hacker News ที่ผู้เขียนต้นฉบับโพสต์:
https://news.ycombinator.com/item?id=34231364

คำแปลภาษาเกาหลีของบทความต้นฉบับที่ผู้อื่นโพสต์ไว้:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820

น่าอายจริงๆ

ในเกาหลี ฉันมักมองว่าโดยมากแล้วเป้าหมายของกฎระเบียบมักลงเอยไม่ใช่การ "ปกป้องผู้ใช้" แต่เป็นการ "ทำให้ไม่ต้องรับผิดชอบ" และตัวอย่างที่ชัดเจนก็คือปลั๊กอินความปลอดภัยแบบติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ ดูเหมือนว่าทุกครั้งที่เกิดเหตุ ก็จะมีการเพิ่มอะไรสักอย่างเข้าไปทีละอย่าง จนมาถึงขั้นที่ต้องติดตั้งปลั๊กอินเพื่อจะติดตั้งมันอีกที แบบนี้ก็น่าตกใจเหมือนกันครับ 55

ใช่ครับ ในบทความที่แนะนำก็ชี้ประเด็นนั้นได้อย่างตรงเผงเลย

แล้วพอเห็นว่ามีการแนะนำให้ผู้ใช้ติดตั้งโปรแกรมเพิ่มเติมแยกต่างหาก เพื่อจะได้ติดตั้งปลั๊กอินความปลอดภัยหลายตัว ก็ถึงกับเรียกมันว่า “การจัดการสวนสัตว์แอป” (manage this application zoo) เลยครับ 555

นึกว่าเป็นเรื่องที่มีแต่เราที่รู้ซะอีก ที่แท้ทุกคนก็รู้กันหมดเลย ฮือ ฮือ

ตอนกำลังกินข้าวเย็นแล้วเห็นบทความนี้ ก็แค่คิดว่าเดี๋ยวพรุ่งนี้ค่อยสรุปมาโพสต์ แต่คุณเรียบเรียงไว้ดีมากแล้ว ขอบคุณครับ!!

คำที่บอกว่าได้สร้าง “ตลาดแอปพลิเคชันความปลอดภัยปลอม (bogus)” ขึ้นมานั้น โดนใจมากจริง ๆ