HOPLIGHT: ความพยายามอีกครั้งของเกาหลีเหนือในการเป็นระบอบการแฮ็ก

เผยแพร่แล้ว: 2019-04-15

ความตึงเครียดทางการเมืองระหว่างเกาหลีเหนือ (หรือที่รู้จักกันอย่างเป็นทางการว่าสาธารณรัฐประชาธิปไตยประชาชนเกาหลี) และสหรัฐอเมริกานั้นสูงเป็นประวัติการณ์ นับตั้งแต่ผู้นำเกาหลีเหนือ Kim Jong-un ได้เปิดเผยแผนการของเขาที่จะสร้างอาวุธนิวเคลียร์ ดูเหมือนจะกำจัดเขา "ศัตรู". เมื่อเร็ว ๆ นี้ เกาหลีเหนือรู้ดีว่าไม่สามารถเอาชนะสหรัฐฯ ในด้านความแข็งแกร่งและเศรษฐกิจทางทหารได้ ได้หันไปใช้การจี้เครือข่ายและการโจมตีทางอินเทอร์เน็ตเพื่อทำให้สหรัฐฯ อ่อนแอ และพยายามเจาะข้อมูลเอกสารของรัฐบาลเป็นประจำ ผู้โจมตีซึ่งอ้างว่าเป็นองค์กรเอกชนและไม่มีส่วนเกี่ยวข้องกับรัฐบาลเกาหลีเหนือ ได้พยายามหลายครั้งในองค์กรเอกชนของสหรัฐฯ และสถาบันของรัฐบาล พวกเขาได้แสดงท่าทีข่มขู่อย่างเปิดเผยต่อการโจมตีของผู้ก่อการร้ายและการสังหารหมู่ หากเจ้าหน้าที่สหรัฐไม่ทำตามข้อเรียกร้องของพวกเขา เป็นอีกครั้งที่การโจมตีทางไซเบอร์ที่ได้รับทุนสนับสนุนจากรัฐของเกาหลีเหนือได้พุ่งเป้าไปที่หน่วยงานรัฐบาลสหรัฐฯ ด้วยมัลแวร์ตัวใหม่ที่ชื่อว่า HOPLIGHT HOPLIGHT ทำอะไรได้บ้างและเกาหลีเหนือจะเป็นอย่างไรหลังจากเวลานี้

ต้องอ่าน: การสร้างความปลอดภัยทางไซเบอร์

ความพยายามโจมตีทางไซเบอร์ของเกาหลีเหนือที่สหรัฐอเมริกา

ความพยายามโจมตีทางไซเบอร์ของเกาหลีเหนือที่สหรัฐอเมริกา
ที่มาของภาพ: Bleeping Computer

HOPLIGHT ไม่ใช่ครั้งแรกที่ผู้โจมตีทางไซเบอร์ของเกาหลีเหนือกำหนดเป้าหมายไปยังหน่วยงานหรือบริษัทในสหรัฐอเมริกา อันที่จริงสิ่งนี้ดำเนินมาเกือบครึ่งทศวรรษแล้ว และในขณะที่ระบอบการปกครองของเกาหลีเหนือยังคงปฏิเสธที่จะมีข้อมูลใดๆ เกี่ยวกับการโจมตีเหล่านี้ เป็นที่ทราบกันทั่วโลกว่าระบอบการปกครองได้รับการสนับสนุนอย่างสม่ำเสมอ

ผู้โจมตีทางไซเบอร์ของเกาหลีเหนือ
ที่มาของภาพ: Recode

การโจมตีครั้งใหญ่ครั้งแรกที่พาดหัวข่าวคือ Sony Pictures Hack ซึ่งผู้โจมตีเจาะเข้าไปในเซิร์ฟเวอร์และเครือข่ายของ Sony Pictures ซึ่งเป็นสตูดิโอภาพยนตร์ของอเมริกา การโจมตีมุ่งเป้าไปที่อีเมลส่วนตัวของหัวหน้าสตูดิโอ ไฟล์ข้อมูล สคริปต์ของภาพยนตร์ที่กำลังจะออกฉาย และรายละเอียดของข้อตกลงตามสัญญาบางฉบับที่อยู่ระหว่างดำเนินการ ข้อเรียกร้องคือการปิดกั้นการเปิดตัวภาพยนตร์เรื่อง The Interview ซึ่งเป็นการเยาะเย้ยต่อผู้นำเกาหลีเหนือ Kim Jong-un การปฏิบัติต่อการโจมตีของผู้ก่อการร้ายในการฉายภาพยนตร์ทำให้สตูดิโอต้องทำตามข้อเรียกร้อง รัฐบาลสหรัฐฯ ได้เริ่มการสอบสวนหลายครั้ง

เจ้าหน้าที่สหรัฐติดตามการโจมตีไปยังเกาหลีเหนือ
ที่มาของภาพ: ZDNet

ในปี 2560 กลุ่มแฮ็กเกอร์ชื่อ The Shadow Brokers ใช้ช่องโหว่ของ Microsoft Windows เพื่อโจมตีทางไซเบอร์ทั่วโลก จี้เซิร์ฟเวอร์ขององค์กร และบัญชี การโจมตีแบบ Denial of Service ที่เรียกว่า Ransomware ได้ละเมิดคอมพิวเตอร์มากกว่า 200,000 เครื่องทั่วโลก และผู้โจมตีเรียกร้องค่าไถ่ในสกุลเงินดิจิทัลเพื่อเพิกถอนการปิดล้อมคอมพิวเตอร์เหล่านี้ ตอนนั้นเองที่รัฐบาลสหรัฐได้เพิ่มเดิมพันในการสืบสวนที่กำลังดำเนินอยู่และเริ่มขุดคุ้ยในระดับสากล ถึงเวลานั้น เจ้าหน้าที่สหรัฐฯ ได้ติดตามการโจมตีไปยังเกาหลีเหนือและยืนยันข้อกล่าวหาอย่างเป็นทางการ พวกเขาได้ประสบกับการโจมตีที่รุนแรงมากขึ้นในบริการสาธารณูปโภคและโครงข่ายไฟฟ้าของตน

ดังนั้น ใครอยู่เบื้องหลังการโจมตีเหล่านี้

ใครอยู่เบื้องหลังการโจมตีของเกาหลีเหนือ
ที่มาของภาพ: Vox

รัฐบาลสหรัฐอเมริกา สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และกระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา (DHS) ที่การโจมตีเหล่านี้ได้รับการสนับสนุนจากสำนักข่าวกรองเกาหลีหน่วยข่าวกรองเกาหลี และได้รับความร่วมมือจากสำนัก 121 ชื่อรหัสว่า กลุ่มลาซารัส และเรียกโดย ชื่ออื่น ๆ อีกมากมาย สำนัก 121 ได้รับการกล่าวขานว่าเป็นทีมผู้เชี่ยวชาญของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และแฮ็กเกอร์ที่ผ่านการฝึกอบรม ซึ่งมีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการดำเนินการละเมิดดังกล่าวในประเทศที่เป็น "ศัตรู" ของเกาหลีเหนือ การสอบสวนระบุชื่อเฉพาะว่า Park Jin-hyok ซึ่งเป็นสมาชิกของสำนัก 121 ซึ่งเป็นหัวหน้าผู้ดูแลการโจมตีเหล่านี้ และในขณะเดียวกัน ระบอบการปกครองของเกาหลีเหนือได้ปฏิเสธการมีอยู่ของกลุ่มดังกล่าว และงดเว้นจากแถลงการณ์อย่างเป็นทางการเกี่ยวกับการโจมตีเหล่านี้

HOPLIGHT: ล่าสุดในแนวการโจมตีมัลแวร์ของเกาหลีเหนือ

HOPLIGHT การโจมตีด้วยมัลแวร์ของเกาหลีเหนือ
ที่มาของภาพ: GB Hackers

กลุ่มโจมตีทางไซเบอร์ของเกาหลีเหนือได้ปล่อยมัลแวร์ใหม่ชื่อ HOPLIGHT ซึ่งกำหนดเป้าหมายไปยังหน่วยงานของรัฐบาลสหรัฐฯ อีกครั้งสำหรับข้อมูลและข้อมูล แม้ว่าจะไม่มีบัญชีอย่างเป็นทางการของการโจมตี HOPLIGHT ในองค์กรส่วนตัวหรือสาธารณะก็ตาม มัลแวร์ดังกล่าวได้รับการตรวจพบและติดตามกลับไปยังเกาหลีเหนือโดยทีม US Computer Emergency Ready (CERT) FBI และ DHS ได้เปิดเผยข้อมูลที่มัลแวร์ตัวใหม่นี้ทำหน้าที่เป็นโทรจันและสามารถอ่าน แก้ไข และย้ายไฟล์สำคัญในระบบได้ มัลแวร์ยังมีความสามารถในการแทรกรหัสไวรัสลงในกระบวนการเครือข่ายที่ทำงานอยู่ และยุติหรือหยุดการทำงานเหล่านั้น ซึ่งสามารถสร้างการหยุดชะงักในการทำงานของบริษัทตัวแทนได้ นอกจากนี้ มัลแวร์ยังสามารถแก้ไขไฟล์รีจิสตรี ซึ่งสามารถขัดขวางข้อมูลที่จัดเก็บไว้ในเครือข่ายหน่วยงานสาธารณะ

มัลแวร์ที่สืบย้อนไปถึงเกาหลีเหนือโดย US
ที่มาของรูปภาพ: Cyware

CERT ได้เปิดเผยรายละเอียดของไฟล์ 9 ประเภท ซึ่งส่วนใหญ่เป็นแอปพลิเคชันพร็อกซี่ ที่ใช้ในการฉีด HOPLIGHT ลงในระบบและเครือข่าย พร็อกซี่มีใบรับรอง SSL ปลอมและใช้เซิร์ฟเวอร์คำสั่งเพื่อดำเนินการละเมิด

HOPLIGHT คือสิ่งใหม่ในเมืองนี้

นับตั้งแต่การโจมตี Wannacry Ransomware CERT ได้เผยแพร่รายงานเกี่ยวกับการโจมตีทางไซเบอร์ที่เป็นอันตรายและการตรวจจับมัลแวร์ที่เป็นไปได้เพื่อเตือนหน่วยงานและองค์กรสาธารณะ และก่อนหน้านี้ไม่มีรายงานใดที่กล่าวถึงสิ่งใดเช่น HOPLIGHT และไม่ได้รวมที่อยู่ใดๆ กับ HOPLIGHT เห็นได้ชัดว่า HOPLIGHT ไม่เคยถูกใช้มาก่อนและเป็นมัลแวร์ใหม่ล่าสุดในรายการซอฟต์แวร์ที่เป็นอันตรายของ Bureau 121

ทำไมเกาหลีเหนือยังคงโจมตีทางไซเบอร์ต่อหน่วยงานของสหรัฐฯ

การโจมตีทางไซเบอร์ต่อหน่วยงานของสหรัฐฯ
ที่มาของภาพ: PYMNTS

เกาหลีเหนือเป็นระบอบเผด็จการขนาดเล็ก อยู่ไกลออกไปทางตะวันออก และไม่สามารถยึดครองประเทศที่มีอำนาจสูงสุดอย่างอเมริกาได้ อย่างน้อยก็ไม่ได้อยู่ในแนวรบทางทหาร ประเทศนี้ถูกกองกำลังนาวิกโยธินสหรัฐรายล้อมอยู่ในทะเล และถูกสื่อโลกลดระดับลงอย่างต่อเนื่องเนื่องจากเจตนาร้ายของผู้นำเกาหลีเหนือ คิม จองอึน ต่อสันติภาพและความมั่นคงของโลก ยิ่งไปกว่านั้น ระบบการศึกษาและเศรษฐกิจที่อ่อนแอของประเทศทำให้ประเทศชาติหมดเงิน ดังนั้น แรงจูงใจเบื้องหลังการโจมตีเหล่านี้จึงได้รับผลประโยชน์ทางการเงินเช่นกัน และแน่นอนว่าไม่มีประเทศชาติใดสามารถดำเนินการจารกรรมได้ ในขณะที่ผู้โจมตีทางไซเบอร์นั้นไม่สามารถตรวจพบได้ หรือไม่ก็เป็นไปไม่ได้ที่จะจับกุมนอกขอบเขตของหน่วยงานบังคับใช้กฎหมาย ดังนั้น การโจมตีทางไซเบอร์และการละเมิดความปลอดภัยทางไซเบอร์ยังคงเป็นตัวเลือกที่เป็นไปได้มากที่สุดสำหรับเกาหลีเหนือในการมีส่วนร่วมอย่างแข็งขันในการจัดหาข้อมูลและข่าวกรอง ซึ่งเป็นแนวปฏิบัติที่ตามมาด้วยการจารกรรมทุกประเทศ

แต่เกาหลีเหนือสามารถดำเนินการละเมิดเหล่านี้ได้อย่างไร?

เป็นคำถามที่ใช้ได้จริง โดยให้ความจริงที่ว่าเกาหลีเหนือสามารถดำเนินการโจมตีที่ส่งผลกระทบได้สูง แม้ว่าจะจำกัดการแสดงตนทางออนไลน์ในวงกว้างก็ตาม ประเทศมีการเชื่อมต่ออินเทอร์เน็ตสองแห่งกับโลกภายนอกและยังคงกลายเป็นผู้โจมตีทางไซเบอร์ที่อันตรายและทรงพลัง

เกาหลีเหนือดำเนินการละเมิดเหล่านี้
ที่มาของภาพ: UPI

นี่เป็นเพราะระบอบการปกครองได้ฝึกอบรมเด็ก ๆ อย่างกว้างขวางในเรื่องความปลอดภัยทางไซเบอร์และการแฮ็คอย่างกว้างขวาง ตามรายงานการสอบสวนของ DHS และ FBI เด็กหนุ่มของเกาหลีเหนือได้รับการประเมินทักษะทางคณิตศาสตร์และลอการิทึม และได้รับการฝึกฝนให้เป็นผู้เชี่ยวชาญในการแฮ็กภายใต้โครงการที่ได้รับทุนจากรัฐ แฮ็กเกอร์ที่ผ่านการฝึกอบรมจำนวนมากเหล่านี้อาศัยอยู่ในต่างประเทศ โดยอาศัยสายลับเพื่อให้ข่าวกรองภาคพื้นดินแก่เกาหลีเหนือ

ปัญหาใหญ่แค่ไหน?

การแทรกแซงล่าสุดของเกาหลีเหนือ HOPLIGHT
ที่มาของภาพ: Business Insider

แม้ว่าจะตรวจพบการแทรกแซง HOPLIGHT ล่าสุดของเกาหลีเหนือแล้วก็ตาม ภัยคุกคามไม่สามารถมองข้ามได้ตั้งแต่เนิ่นๆ เกาหลีเหนือไม่ได้เงียบเลยตั้งแต่สองปีที่แล้วเกี่ยวกับการโจมตีระบบความปลอดภัยทางไซเบอร์ และถึงกับมีส่วนร่วมในการโจมตีใดๆ เหล่านี้ภายใต้การปลอมแปลงของการเจรจาปลอมและความเงียบเกี่ยวกับการพัฒนาอาวุธนิวเคลียร์ที่อาจเกิดขึ้น อันที่จริง การโจมตียังคงดำเนินต่อไป แม้กระทั่งหลังจากการพบกันอย่างเป็นทางการระหว่างประธานาธิบดีทรัมป์และคิม จองอึน ของสหรัฐฯ ปัญหาจึงค่อนข้างใหญ่และดูเหมือนจะไม่หมดไปในเร็วๆ นี้

เกาหลีเหนือเคยพยายามโจมตีแบบทุบแล้วคว้าโดยตรงมาก่อนแล้ว แต่ HOPLIGHT เป็นการจารกรรมรูปแบบใหม่สำหรับเกาหลีเหนือ ซึ่งยังไม่ได้กำหนดเป้าหมายไปยังองค์กรใดๆ อย่างเป็นทางการ

ต้องอ่าน: ข้อมูลของรัฐบาลและการทหารปลอดภัยจากการโจมตีทางไซเบอร์หรือไม่?

คำตอบว่าเกาหลีเหนือจะเดินหน้าต่อไปด้วย HOPLIGHT หรือจะถอยกลับในแง่ของการเปิดเผยมัลแวร์ตัวใหม่ในช่วงต้นๆ ยังไม่สามารถแก้ไขได้ อย่างไรก็ตาม ด้วยการละเมิดอย่างไม่หยุดยั้งและความพยายามในการแฮ็กจากกลุ่มที่ได้รับการสนับสนุนจากรัฐของประเทศ หมายความว่าความเชี่ยวชาญด้านการแฮ็กของเกาหลีเหนือจำเป็นต้องได้รับการจัดการ