เมื่อเร็ว ๆ นี้ ตามรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Recorded Future ระบุว่า Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับเกาหลีเหนือ ได้ขโมยเงินดิจิทัลมูลค่า 3 พันล้านดอลลาร์ในช่วงหกปีที่ผ่านมา
รายงานอ้างว่าในปี 2022 เพียงปีเดียว Lazarus Group ปล้นเงินดิจิทัลมูลค่า 1.7 พันล้านดอลลาร์ ซึ่งมีแนวโน้มว่าจะให้ทุนสนับสนุนโครงการของเกาหลีเหนือ
Chainaanalysis บริษัทวิเคราะห์ข้อมูลบล็อกเชนกล่าวว่า 1.1 พันล้านดอลลาร์ถูกขโมยไปจากแพลตฟอร์ม DeFi กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกาเผยแพร่รายงานเมื่อเดือนกันยายนโดยเป็นส่วนหนึ่งของโครงการแลกเปลี่ยนเชิงวิเคราะห์ (AEP) ซึ่งเน้นย้ำถึงการใช้ประโยชน์จากโปรโตคอล DeFi ของลาซารัสด้วย
ความพิเศษของ Lazarus Group คือการขโมยทางการเงิน ในปี 2559 พวกเขาแฮ็กเข้าสู่ธนาคารกลางบังกลาเทศและขโมยเงินจำนวน 81 ล้านดอลลาร์ ในปี 2018 พวกเขาโจมตีบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของญี่ปุ่นอย่าง Coincheck ซึ่งขโมยเงินไป 530 ล้านดอลลาร์ และโจมตีธนาคาร Bank Negara Malaysia ซึ่งขโมยเงินไป 390 ล้านดอลลาร์
ไฮไลท์ของรายงานการรวบรวมมูลค่าห่วงโซ่คาร์บอนมีไว้เพื่อใช้อ้างอิง:
ตั้งแต่ปี 2017 เกาหลีเหนือได้กำหนดเป้าหมายอุตสาหกรรม crypto ให้เป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยขโมยมูลค่า cryptocurrency รวมกว่า 3 พันล้านดอลลาร์ ก่อนหน้านี้ เกาหลีเหนือได้แย่งชิงเครือข่าย SWIFT และขโมยเงินจากสถาบันการเงิน กิจกรรมประเภทนี้ได้รับความสนใจจากหน่วยงานต่างประเทศอย่างใกล้ชิด สถาบันการเงินจึงลงทุนในการปรับปรุงการป้องกันความปลอดภัยทางไซเบอร์ของตนเอง
เมื่อสกุลเงินดิจิทัลเริ่มได้รับความนิยมและกลายเป็นกระแสหลักในปี 2560 แฮ็กเกอร์ชาวเกาหลีเหนือได้เปลี่ยนเป้าหมายการโจรกรรมจากการเงินแบบดั้งเดิมไปเป็นการเงินดิจิทัลรูปแบบใหม่ โดยกำหนดเป้าหมายไปที่ตลาดสกุลเงินดิจิทัลของเกาหลีใต้ก่อน จากนั้นจึงขยายอิทธิพลไปทั่วโลก
ในปี 2022 เพียงปีเดียว แฮกเกอร์ชาวเกาหลีเหนือถูกกล่าวหาว่าขโมยสกุลเงินดิจิทัลมูลค่าประมาณ 1.7 พันล้านดอลลาร์ ซึ่งคิดเป็นประมาณ 5% ของขนาดเศรษฐกิจภายในประเทศของเกาหลีเหนือ หรือ 45% ของงบประมาณทางการทหาร ตัวเลขนี้ยังเกือบ 10 เท่าของมูลค่าการส่งออกของเกาหลีเหนือในปี 2564 ตามข้อมูลจากเว็บไซต์ OEC การส่งออกของเกาหลีเหนือในปีนั้นมีมูลค่า 182 ล้านดอลลาร์สหรัฐ
วิธีที่แฮกเกอร์ชาวเกาหลีเหนือดำเนินการในอุตสาหกรรม crypto เพื่อขโมยสกุลเงินดิจิทัลมักจะคล้ายกับวิธีการทำงานของอาชญากรรมไซเบอร์แบบดั้งเดิมโดยใช้ตัวผสม crypto ธุรกรรมข้ามสายโซ่ และ fiat OTC อย่างไรก็ตาม เมื่อมีรัฐอยู่เบื้องหลัง การโจรกรรมจึงสามารถขยายการดำเนินงานได้ การดำเนินการประเภทนี้เป็นไปไม่ได้สำหรับแก๊งอาชญากรไซเบอร์แบบดั้งเดิม
จากการติดตามข้อมูล ประมาณ 44% ของสกุลเงินดิจิทัลที่ถูกขโมยในปี 2022 เกี่ยวข้องกับการแฮ็กของเกาหลีเหนือ
เป้าหมายของแฮกเกอร์ชาวเกาหลีเหนือไม่ได้จำกัดอยู่เพียงการแลกเปลี่ยน ผู้ใช้รายบุคคล บริษัทร่วมลงทุน และเทคโนโลยีและโปรโตคอลอื่น ๆ ล้วนถูกโจมตีโดยแฮกเกอร์ชาวเกาหลีเหนือ สถาบันทั้งหมดที่ดำเนินงานในอุตสาหกรรมนี้และบุคคลที่ทำงานที่นั่นอาจเป็นเป้าหมายสำหรับแฮกเกอร์ชาวเกาหลีเหนือ ส่งผลให้รัฐบาลเกาหลีเหนือสามารถดำเนินการและระดมทุนต่อไปได้
ผู้ใช้ ผู้ดำเนินการแลกเปลี่ยน หรือผู้ก่อตั้งสตาร์ทอัพที่ทำงานในอุตสาหกรรม crypto ควรตระหนักถึงความเป็นไปได้ที่แฮกเกอร์จะตกเป็นเป้าหมาย
สถาบันการเงินแบบดั้งเดิมควรให้ความสนใจอย่างใกล้ชิดกับกิจกรรมของกลุ่มแฮ็กชาวเกาหลีเหนือ เมื่อสกุลเงินดิจิทัลถูกขโมยและแปลงเป็นสกุลเงินคำสั่ง แฮกเกอร์ชาวเกาหลีเหนือจะย้ายเงินระหว่างบัญชีต่างๆ เพื่อปกปิดแหล่งที่มา บ่อยครั้งที่ข้อมูลระบุตัวตนที่ถูกขโมยและรูปถ่ายที่ถูกแก้ไขจะถูกนำมาใช้เพื่อหลีกเลี่ยงการตรวจสอบ AML/KYC ข้อมูลที่สามารถระบุตัวตนส่วนบุคคล (PII) ของใครก็ตามที่ตกเป็นเหยื่อของการบุกรุกที่เชื่อมโยงกับทีมแฮ็กเกอร์ของเกาหลีเหนือสามารถนำมาใช้ในการลงทะเบียนบัญชีเพื่อดำเนินการกระบวนการฟอกเงินเพื่อขโมยเงินดิจิตอลได้ ดังนั้น บริษัทที่ดำเนินงานนอกอุตสาหกรรมสกุลเงินดิจิทัลและการเงินแบบดั้งเดิมควรระวังกิจกรรมของกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ และไม่ว่าข้อมูลหรือโครงสร้างพื้นฐานของพวกเขาจะถูกใช้เป็นกระดานกระโดดสำหรับการบุกรุกเพิ่มเติมหรือไม่
การบุกรุกโดยกลุ่มแฮ็กชาวเกาหลีเหนือส่วนใหญ่เริ่มต้นจากวิศวกรรมสังคมและแคมเปญฟิชชิ่ง บางองค์กรควรฝึกอบรมพนักงานให้ตรวจสอบกิจกรรมดังกล่าวและใช้การรับรองความถูกต้องแบบหลายปัจจัยที่เข้มงวด เช่น การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านที่เป็นไปตามมาตรฐาน FIDO2
การบุกรุกโดยกลุ่มแฮ็กชาวเกาหลีเหนือส่วนใหญ่เริ่มต้นจากวิศวกรรมสังคมและแคมเปญฟิชชิ่ง บางองค์กรควรฝึกอบรมพนักงานให้ตรวจสอบกิจกรรมดังกล่าวและใช้การรับรองความถูกต้องแบบหลายปัจจัยที่เข้มงวด เช่น การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านที่เป็นไปตามมาตรฐาน FIDO2
เกาหลีเหนือมองเห็นอย่างชัดเจนว่าการขโมย cryptocurrencies อย่างต่อเนื่องเป็นแหล่งรายได้หลักสำหรับโครงการทางทหารและอาวุธ แม้ว่าจะไม่ชัดเจนว่าสกุลเงินดิจิทัลที่ถูกขโมยนั้นถูกใช้โดยตรงเพื่อสนับสนุนการเปิดตัวขีปนาวุธ แต่ก็ชัดเจนว่าจำนวนสกุลเงินดิจิทัลที่ถูกขโมย รวมถึงจำนวนการยิงขีปนาวุธ เพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา หากไม่มีกฎระเบียบที่เข้มงวด ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ และการลงทุนในความปลอดภัยทางไซเบอร์ของบริษัทสกุลเงินดิจิทัล เกาหลีเหนือจะยังคงพึ่งพาอุตสาหกรรมสกุลเงินดิจิทัลเป็นแหล่งรายได้เพิ่มเติมเพื่อสนับสนุนรัฐอย่างแน่นอน
เมื่อวันที่ 12 กรกฎาคม 2023 JumpCloud บริษัทซอฟต์แวร์ระดับองค์กรของอเมริกาประกาศว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือได้เข้าสู่เครือข่ายของตน นักวิจัย Mandiant ได้ออกรายงานในภายหลังว่ากลุ่มที่รับผิดชอบในการโจมตีคือ UNC4899 ซึ่งอาจสอดคล้องกับ "Trader Traitor" ซึ่งเป็นกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่เน้นไปที่สกุลเงินดิจิทัล เมื่อวันที่ 22 สิงหาคม 2023 สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกประกาศระบุว่ากลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือเกี่ยวข้องกับ Atomic Wallet, Alphapo และ CoinsPaid ในการโจมตีด้วยการแฮ็ก โดยขโมยเงินดิจิทัลไปทั้งสิ้น 197 ล้านดอลลาร์สหรัฐ การขโมยสกุลเงินดิจิทัลเหล่านี้ทำให้รัฐบาลเกาหลีเหนือสามารถดำเนินการต่อไปภายใต้การคว่ำบาตรระหว่างประเทศที่เข้มงวด และให้ทุนมากถึง 50% ของต้นทุนโครงการขีปนาวุธ
ในปี 2560 แฮกเกอร์ชาวเกาหลีเหนือบุกโจมตีการแลกเปลี่ยน Bithumb, Youbit และ Yapizon ของเกาหลีใต้ โดยขโมยเงินดิจิทัลมูลค่าประมาณ 82.7 ล้านดอลลาร์ในขณะนั้น นอกจากนี้ยังมีรายงานว่าผู้ใช้ cryptocurrency ยังตกเป็นเป้าหมายหลังจากข้อมูลส่วนบุคคลของลูกค้าของผู้ใช้ Bithumb รั่วไหลในเดือนกรกฎาคม 2017
นอกเหนือจากการขโมย cryptocurrencies แล้ว แฮกเกอร์ชาวเกาหลีเหนือยังเรียนรู้ที่จะขุด cryptocurrencies อีกด้วย ในเดือนเมษายน ปี 2017 นักวิจัยของ Kaspersky Lab ค้นพบซอฟต์แวร์การขุด Monero ที่ติดตั้งในการบุกรุก APT38
ในเดือนมกราคม ปี 2018 นักวิจัยจากสถาบันความมั่นคงทางการเงินของเกาหลีใต้ประกาศว่าองค์กร Andariel ของเกาหลีเหนือบุกเซิร์ฟเวอร์ของบริษัทที่ไม่เปิดเผยในช่วงฤดูร้อนปี 2017 และใช้มันเพื่อขุดเหรียญ Monero ประมาณ 70 เหรียญ มูลค่าประมาณ 25,000 ดอลลาร์ในขณะนั้น
ในปี 2020 นักวิจัยด้านความปลอดภัยยังคงรายงานการโจมตีทางไซเบอร์ครั้งใหม่โดยแฮกเกอร์ชาวเกาหลีเหนือที่กำหนดเป้าหมายไปที่อุตสาหกรรมสกุลเงินดิจิทัล กลุ่มแฮ็กชาวเกาหลีเหนือ APT38 กำหนดเป้าหมายการแลกเปลี่ยนสกุลเงินดิจิทัลในสหรัฐอเมริกา ยุโรป ญี่ปุ่น รัสเซีย และอิสราเอล โดยใช้ Linkedin เป็นวิธีเริ่มต้นในการติดต่อเป้าหมาย
ปี 2021 เป็นปีที่มีผลงานมากที่สุดของเกาหลีเหนือสำหรับอุตสาหกรรมสกุลเงินดิจิทัล โดยแฮกเกอร์ชาวเกาหลีเหนือแฮ็กสถาบันสกุลเงินดิจิทัลอย่างน้อย 7 แห่งและขโมยสกุลเงินดิจิทัลมูลค่า 400 ล้านดอลลาร์ นอกจากนี้ แฮกเกอร์ชาวเกาหลีเหนือได้เริ่มกำหนดเป้าหมายไปที่ Altcoins รวมถึงโทเค็น ERC-20 และ NFT
ในเดือนมกราคม 2022 นักวิจัยของ Chainalysis ยืนยันว่ายังคงมีการแลกสกุลเงินดิจิทัลมูลค่า 170 ล้านดอลลาร์นับตั้งแต่ปี 2017
การโจมตีที่โดดเด่นที่เกิดจาก APT38 ในปี 2022 ได้แก่ สะพานข้ามเครือข่าย Ronin Network (สูญเสีย 600 ล้านดอลลาร์), สะพาน Harmony (สูญเสีย 100 ล้านดอลลาร์), สะพาน Qubit Finance (สูญเสีย 80 ล้านดอลลาร์) และสะพาน Nomad (สูญเสีย 190 ล้านเหรียญสหรัฐ) การโจมตีทั้งสี่นี้มุ่งเป้าไปที่สะพานข้ามสายโซ่ของแพลตฟอร์มเหล่านี้โดยเฉพาะ สะพานข้ามสายโซ่เชื่อมต่อ 2 บล็อกเชน ทำให้ผู้ใช้สามารถส่งสกุลเงินดิจิทัลหนึ่งรายการจากบล็อกเชนหนึ่งไปยังอีกบล็อกหนึ่งที่มีสกุลเงินดิจิทัลต่างกันได้
ในเดือนตุลาคม 2022 สำนักงานตำรวจแห่งชาติของญี่ปุ่นประกาศว่า Lazarus Group ได้ทำการโจมตีบริษัทที่ดำเนินงานในอุตสาหกรรมสกุลเงินดิจิทัลในญี่ปุ่น แม้ว่าจะไม่ได้ให้รายละเอียดที่เฉพาะเจาะจง แต่คำแถลงระบุว่าบางบริษัทถูกบุกรุกและถูกขโมยสกุลเงินดิจิทัลได้สำเร็จ
ระหว่างเดือนมกราคมถึงเดือนสิงหาคม 2023 APT38 ถูกกล่าวหาว่าขโมยเงิน 200 ล้านดอลลาร์จาก Atomic Wallet (การโจมตี 2 ครั้งมีมูลค่ารวม 100 ล้านดอลลาร์), AlphaPo (การโจมตี 2 ครั้งมูลค่ารวม 60 ล้านดอลลาร์) และ CoinsPaid (การสูญเสีย 37 ล้านดอลลาร์) นอกจากนี้ในเดือนมกราคม FBI ของสหรัฐฯ ยืนยันว่า APT38 สูญเสียเงิน 100 ล้านดอลลาร์ในการขโมยสกุลเงินเสมือน Horizon Bridge ของ Harmony
ในการโจมตี CoinsPaid ในเดือนกรกฎาคม 2023 ผู้ดำเนินการ APT38 อาจปลอมตัวเป็นผู้สรรหาและส่งอีเมลรับสมัครงานและข้อความ LinkedIn ที่กำหนดเป้าหมายเฉพาะพนักงาน CoinsPaid CoinsPaid กล่าวว่า APT38 ใช้เวลาหกเดือนในการเข้าถึงเครือข่าย
มาตรการบรรเทาผลกระทบ
- คำแนะนำจาก Insikt Group เพื่อป้องกันการโจมตีทางไซเบอร์ของเกาหลีเหนือที่มุ่งเป้าไปที่ผู้ใช้และบริษัทสกุลเงินดิจิทัล:
- เปิดใช้งานการรับรองความถูกต้องด้วยหลายปัจจัย (MFA): ใช้อุปกรณ์ฮาร์ดแวร์ เช่น YubiKey สำหรับกระเป๋าเงินและธุรกรรมเพื่อเพิ่มความปลอดภัย
- เปิดใช้งานการตั้งค่า MFA ที่มีอยู่สำหรับการแลกเปลี่ยนสกุลเงินดิจิตอลของคุณเพื่อเพิ่มการป้องกันบัญชีจากการเข้าสู่ระบบที่ไม่ได้รับอนุญาตหรือการโจรกรรม
- ตรวจสอบบัญชีโซเชียลมีเดียที่ได้รับการยืนยันโดยตรวจสอบว่าชื่อผู้ใช้มีอักขระพิเศษหรือตัวเลขแทนที่ตัวอักษรหรือไม่
- ตรวจสอบให้แน่ใจว่าธุรกรรมที่ร้องขอนั้นถูกต้องตามกฎหมาย และตรวจสอบการแจกรางวัลหรือโปรโมชั่นสกุลเงินดิจิตอลฟรีหรือ NFT อื่น ๆ
- เมื่อได้รับ airdrops หรือเนื้อหาอื่น ๆ เช่น Uniswap หรือแพลตฟอร์มขนาดใหญ่อื่น ๆ ให้ตรวจสอบแหล่งที่มาอย่างเป็นทางการเสมอ
- ตรวจสอบ URL เสมอและคอยดูการเปลี่ยนเส้นทางหลังจากคลิกลิงก์ เพื่อให้แน่ใจว่าเว็บไซต์นั้นเป็นทางการและไม่ใช่ไซต์ฟิชชิ่ง
เคล็ดลับบางประการในการป้องกันการหลอกลวงทางโซเชียลมีเดีย:
- ใช้ความระมัดระวังอย่างยิ่งในการซื้อขายสกุลเงินดิจิตอล สินทรัพย์สกุลเงินดิจิทัลไม่มีมาตรการป้องกันจากสถาบันใดๆ ที่จะลดการฉ้อโกง "แบบดั้งเดิม"
- ใช้กระเป๋าสตางค์ฮาร์ดแวร์ กระเป๋าฮาร์ดแวร์อาจมีความปลอดภัยมากกว่า "กระเป๋าเงินร้อน" เช่น MetaMask ซึ่งเชื่อมต่อกับอินเทอร์เน็ตอยู่เสมอ สำหรับฮาร์ดแวร์วอลเล็ตที่เชื่อมต่อกับ MetaMask ธุรกรรมทั้งหมดจะต้องได้รับการอนุมัติจากวอลเล็ตฮาร์ดแวร์ ซึ่งจะเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติม
- ใช้เฉพาะ dApps ที่เชื่อถือได้ (แอปพลิเคชันแบบกระจายอำนาจ) และตรวจสอบที่อยู่สัญญาอัจฉริยะเพื่อยืนยันความถูกต้องและความสมบูรณ์ การโต้ตอบการสร้างเหรียญ NFT ที่แท้จริงนั้นขึ้นอยู่กับสัญญาอัจฉริยะที่อาจเป็นส่วนหนึ่งของ dApp ที่ใหญ่กว่า ที่อยู่สัญญาสามารถตรวจสอบได้โดยใช้ MetaMask ซึ่งเป็นโปรแกรมสำรวจบล็อคเชน เช่น Etherscan หรือบางครั้งโดยตรงภายใน dApp
- ตรวจสอบ URL ของเว็บไซต์อย่างเป็นทางการอีกครั้งเพื่อหลีกเลี่ยงการลอกเลียนแบบ หน้าฟิชชิ่งที่ขโมยเงินดิจิทัลบางหน้าอาจอาศัยการสะกดชื่อโดเมนผิดเพื่อหลอกผู้ใช้ที่ไม่สงสัย
- สงสัยข้อเสนอที่ดูดีเกินจริง สกุลเงินดิจิทัลที่ขโมยหน้าฟิชชิ่งล่อเหยื่อด้วยอัตราแลกเปลี่ยนสกุลเงินดิจิทัลที่น่าพอใจหรือค่าธรรมเนียมก๊าซต่ำสำหรับการโต้ตอบกับการสร้าง NFT
ความคิดเห็นทั้งหมด