เกี่ยวข้องกับกลุ่มแฮกเกอร์จากเกาหลีเหนือได้ดำเนินการโจมตีทางไซเบอร์ในระลอกใหม่อีกครั้ง โดยใช้วิธีปลอมแปลงสัมภาษณ์งานและกระบวนการสรรหาทางเทคนิค เพื่อโจมตีองค์กรด้านปัญญาประดิษฐ์ (AI) สกุลเงินดิจิทัล และบริการทางการเงินทั่วโลก IP ที่ได้รับผลกระทบมากกว่า 3,100 แห่ง แสดงให้เห็นว่าขนาดและความซับซ้อนของการดำเนินการยังคงเพิ่มขึ้นอย่างต่อเนื่อง
อ้างอิงจากการศึกษาล่าสุดของ Insikt Group ซึ่งเป็นส่วนหนึ่งของบริษัท Threat Intelligence Recorded Future การดำเนินการนี้นำโดยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ PurpleBravo ซึ่งเชื่อมโยงกับหน่วยงานเครือข่ายของเกาหลีเหนือ กลุ่มนี้เคยมีส่วนเกี่ยวข้องกับการโจรกรรมสกุลเงินดิจิทัลหลายครั้งในปีที่ผ่านมา มูลค่าการโจรกรรมรวมสูงถึงหลายพันล้านดอลลาร์
การปลอมแปลงสัมภาษณ์เป็นการโจมตีที่แท้จริง กระบวนการสรรหาเป็นช่องทางเข้าโจมตี
นักวิจัยด้านความปลอดภัยไซเบอร์ชี้ให้เห็นว่า PurpleBravo ใช้เทคนิคที่เรียกว่า “Contagious Interview” ซึ่งแฮกเกอร์ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสรรหาของบริษัทเทคโนโลยีหรือบริษัทสกุลเงินดิจิทัล ติดต่อกับวิศวกรและนักพัฒนาเพื่อเชิญเข้าร่วมสัมภาษณ์ทางเทคนิค
ในระหว่างการสัมภาษณ์ ผู้เสียหายมักถูกขอให้ตรวจสอบโค้ด คัดลอกคลัง GitHub หรือดำเนินภารกิจพัฒนาบางอย่าง อย่างไรก็ตาม เนื้อหาการทดสอบเหล่านี้ดูเหมือนเป็นปกติ แต่แท้จริงแล้วซ่อนมัลแวร์ไว้ เมื่อรันบนคอมพิวเตอร์ของบริษัท อาจทำให้แฮกเกอร์เข้าถึงระบบในระดับลึกได้ ความเสี่ยงไม่จำกัดเพียงแค่บัญชีส่วนตัว แต่ยังอาจแพร่กระจายไปยังเครือข่ายภายในองค์กรด้วย
การโจมตีครอบคลุมหลายพื้นที่ เทคโนโลยีและการเงินเป็นเป้าหมายหลัก
Insikt Group ระบุว่า ในช่วงเวลาที่ตรวจสอบ มี IP มากกว่า 3,136 แห่งกลายเป็นเป้าหมายของการโจมตี และมีองค์กรที่ได้รับผลกระทบมากกว่า 20 แห่ง กระจายอยู่ในเอเชียใต้ อเมริกาเหนือ ยุโรป ตะวันออกกลาง และอเมริกากลาง
การศึกษาชี้ให้เห็นว่าการโจมตีเหล่านี้มักเน้นเป้าหมายที่มีข้อมูลจำนวนมาก กระแสเงินสดไหลเวียนอย่างรวดเร็ว เช่น บริษัทวิจัยและพัฒนา AI บริษัทซื้อขายสกุลเงินดิจิทัล และสถาบันการเงิน ซึ่งแสดงให้เห็นว่าจุดประสงค์ของแฮกเกอร์ไม่ใช่แค่การขโมยข้อมูลเท่านั้น แต่ยังอาจเกี่ยวข้องกับการปล้นทรัพย์สินหรือการแทรกซึมในระยะยาว
การใช้ตัวตนปลอมและเครื่องมือมัลแวร์หลายชั้น พัฒนาวิธีการอย่างต่อเนื่อง
หน่วยงานด้านความปลอดภัยไซเบอร์ยังพบว่ากลุ่มแฮกเกอร์นี้ใช้ตัวตนปลอมหลายตัว มักอ้างตัวว่าเป็นชาวยูเครน และใช้แพลตฟอร์มอย่าง GitHub, LinkedIn, Upwork เพื่อเข้าถึงผู้สมัครงาน เพื่อเพิ่มความน่าเชื่อถือ พร้อมกันนี้ยังใช้ซอฟต์แวร์มัลแวร์ข้ามแพลตฟอร์มหลายชนิด เพื่อขโมยรหัสผ่าน เบราว์เซอร์ คุกกี้ และแม้แต่ควบคุมระยะไกล
นอกจากนี้ นักวิจัยยังเตือนว่า แฮกเกอร์เริ่มใช้เครื่องมือพัฒนาที่ถูกดัดแปลง เช่น โครงการ Visual Studio Code ที่ฝัง backdoor เมื่อผู้ใช้เปิดโครงการหลังได้รับอนุญาต ก็อาจรันคำสั่งอันตรายโดยไม่รู้ตัว
นักวิชาการเตือน: กระบวนการสรรหาและพัฒนาควรเพิ่มความระมัดระวัง
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เตือนว่า ด้วยการทำงานระยะไกลและการรับสมัครงานออนไลน์กลายเป็นเรื่องปกติ แฮกเกอร์จึงใช้กระบวนการสรรหาเป็นอาวุธอย่างจริงจัง วิศวกรและองค์กรควรระวังแหล่งที่มาของคำเชิญชวน การทดสอบโค้ด หรือความร่วมมือในโครงการ เพื่อป้องกันไม่ให้รันโค้ดที่ไม่ได้รับการตรวจสอบบนอุปกรณ์ขององค์กร ซึ่งจะช่วยลดความเสี่ยงจากการถูกโจมตีในระดับองค์กร
