กูเกิล (Google) เปิดเผยเมื่อวันอังคารที่ผ่านมา (31 มี.ค.) ว่า แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือได้เจาะเข้าซอฟต์แวร์ระบบหลังบ้านที่คอยควบคุมการทำงานพื้นฐานต่าง ๆ บนโลกออนไลน์ เพื่อขโมยข้อมูลล็อกอิน ซึ่งอาจเป็นสะพานเชื่อมไปสู่การโจมตีทางไซเบอร์ในระดับที่รุนแรงขึ้น
หลังพบร่องรอยการโจมตีเมื่อช่วงเช้าวันอังคาร กูเกิลและนักวิจัยด้านไซเบอร์อิสระระบุว่า แฮกเกอร์กลุ่มนี้พุ่งเป้าไปที่แอ็กซิออส (Axios) ซึ่งเป็นโปรแกรมตัวกลางที่คอยเชื่อมต่อแอปและเว็บเซอร์วิสต่าง ๆ เข้าด้วยกัน โดยแฮกเกอร์ได้แอบฝังมัลแวร์ของตนเองลงไปในตัวอัปเดตระบบที่ปล่อยออกมาเมื่อวันจันทร์ (30 มี.ค.)
“ทุกครั้งที่คุณโหลดหน้าเว็บ เช็กยอดเงินในแอปธนาคาร หรือเปิดแอปบนมือถือ มีโอกาสสูงมากที่ Axios จะทำงานอยู่เบื้องหลังเพื่อขับเคลื่อนสิ่งเหล่านั้น” ทอม เฮเกล นักวิจัยอาวุโสจากบริษัทเซนทิเนลวัน (SentinelOne) กล่าว
แม้มัลแวร์ดังกล่าวจะถูกถอดออกไปแล้ว แต่ก่อนหน้านี้มันอาจเปิดช่องให้แฮกเกอร์เจาะเข้าไปล้วงข้อมูลในคอมพิวเตอร์ของเหยื่อได้ โดยเฉพาะข้อมูลรหัสผ่านและสิทธิ์การเข้าถึงระบบ ซึ่งสามารถนำไปใช้ขโมยข้อมูลสำคัญอื่น ๆ หรือต่อยอดการโจมตีได้อีก
ทั้งนี้ Axios ไม่ใช่โปรแกรมที่ทำมาเพื่อขายหารายได้ แต่เป็นซอฟต์แวร์แบบโอเพนซอร์สที่เปิดให้ผู้ใช้งานทั่วไปนำโค้ดไปดัดแปลงและใช้งานได้ฟรี
นักวิจัยด้านไซเบอร์เรียกวิธีการเจาะระบบครั้งนี้ว่าการโจมตีผ่านซัพพลายเชน ซึ่งหมายความว่า หากเจาะต้นทางได้สำเร็จก็จะส่งผลกระทบชิ่งไปยังผู้ใช้งานปลายทางทั้งหมดที่ใช้ซอฟต์แวร์ตัวนี้
เฮเกลระบุว่า “คุณไม่จำเป็นต้องเผลอไปคลิกหรือทำอะไรพลาดเลย เพราะซอฟต์แวร์ที่คุณไว้ใจเป็นตัวเปิดรับแฮกเกอร์เข้ามาเอง”
กูเกิลระบุว่าการโจมตีครั้งนี้เป็นฝีมือของกลุ่มแฮกเกอร์รหัส UNC1069 ซึ่งกูเกิลได้ติดตามพฤติกรรมมาตั้งแต่ปี 2561 โดยรายงานเมื่อเดือนก.พ. ชี้ว่า กลุ่มนี้มีประวัติก่อเหตุโจมตีสถาบันการเงินและวงการคริปโทเคอร์เรนซี
“แฮกเกอร์เกาหลีเหนือเชี่ยวชาญเรื่องการโจมตีผ่านซัพพลายเชนมาก และมักใช้วิธีนี้เป็นช่องทางหลักในการขโมยเงินคริปโทเคอร์เรนซี” จอห์น ฮัลต์ควิสต์ หัวหน้านักวิเคราะห์จากทีมข่าวกรองภัยคุกคามของกูเกิลระบุ
ด้านรัฐบาลสหรัฐฯ เปิดเผยว่า เกาหลีเหนือมักนำเงินคริปโทฯ ที่ขโมยมาได้ไปเป็นทุนสนับสนุนการพัฒนาอาวุธและโครงการต่าง ๆ รวมถึงใช้เพื่อหลบเลี่ยงมาตรการคว่ำบาตรจากนานาชาติ
โดย สำนักข่าวอินโฟเควสท์ (01 เม.ย. 69)
