แกะรอยพนักงานไอทีเกาหลีเหนือ สร้างโปรไฟล์ Dev ปลอม (Synthetic Identity) ล้วงข้อมูลองค์กรชั้นนำ

รายงานจาก Group-IB เผยพฤติกรรม กลุ่มคนทำงานด้านไอทีจากเกาหลีเหนือ (DPRK IT workers) หรือที่ไมโครซอฟต์เรียกว่า Jasper Sleet แทรกซึมเข้าสู่บริษัทซอฟต์แวร์และไอทีระดับโลก โดยสร้าง ตัวตนปลอม (Synthetic Identities) ขึ้นมาหลอกว่าเป็นนักพัฒนาซอฟต์แวร์มากประสบการณ์ ประกาศหางานบนแพลตฟอร์มชั้นนำอย่าง GitHub, LinkedIn, Upwork 

อธิบายให้เข้าใจก่อนว่า Synthetic Identity (อ้างอิงจากเว็บไซต์ CyberArk) หมายถึง ตัวตนปลอมที่สร้างขึ้นโดยผสานข้อมูลจริงเข้ากับข้อมูลเท็จ แล้วต่อเติมเสริมแต่งข้อมูลตัวตนใหม่หรืออัตลักษณ์ใหม่ให้ดูน่าเชื่อถือ เสมือนว่ามีตัวตนจริง แล้วนำข้อมูลตัวตนปลอมไปใช้แสวงหาประโยชน์ทางการเงินด้วยวิธีที่ผิดกฎหมาย เช่น เปิดบัญชีธนาคาร, ขอสินเชื่อ, ฉ้อโกง

สืบค้น Synthetic Identity และต่อยอดการค้นหา

สำหรับบทความนี้ ทาง Group-IB ศึกษาวิจัยโดยต่อยอดจากรายงานที่เปิดเผยต่อสาธารณะของ GitLab ที่ปรากฏในบทความ 'GitLab Threat Intelligence Team reveals North Korean tradecraft' เกี่ยวกับกลุ่มคนทำงานด้านไอทีจากเกาหลีเหนือ (Democratic People’s Republic of Korea (DPRK))โดยทีมข่าวกรองภัยคุกคามของ Group-IB นำข้อมูลมาสืบค้นต่อว่า บัญชีที่ถูกเปิดโปงโดย GitLab น่าจะเป็นเพียงส่วนหนึ่งของเครือข่ายขนาดใหญ่ และโครงสร้างพื้นฐานที่เกี่ยวข้องกับเครือข่ายนี้อาจยังคงทำงานอยู่บนแพลตฟอร์มอื่น แม้ว่าบัญชีผู้ใช้งานจะถูกระงับไปแล้วก็ตาม

ในด้านอีเมลที่ Group-IB กล่าวถึงนั้น GitLab เปิดเผยต่อสาธารณะ ([email protected]) ว่าเป็นอีเมลที่เคยมีความเกี่ยวข้องกับกิจกรรมของกลุ่มคนทำงานด้านไอทีจากเกาหลีเหนือ ซึ่งเมื่อนำมาขยายผลต่อจากข้อมูลโอเพนซอร์ส (Open-source pivoting) ก็พบบัญชี GitHub ในชื่อ 'cybersage14' 

Source : https://www.group-ib.com

'cybersage14' กลายเป็นจุดเริ่มต้นที่ทำให้ Group-IB ค้นพบระบบนิเวศการสร้างตัวตนปลอม ซึ่งเชื่อมโยงไปยังระบบนิเวศข้อมูลตัวตนปลอม (Personas) แหล่งเก็บไฟล์ข้อมูล (Repositories) และหลักฐานอีกสารพัดที่มีไว้เพื่อส่งเสริมความน่าเชื่อถือ 

ยิ่งเมื่อนำข้อมูลมาวิเคราะห์ร่วมกัน ยิ่งทำให้เห็นโครงสร้างที่เป็นระบบ โดยสิ่งที่ Group-IB สรุปไว้คือ พบขั้นตอนการทำงานที่มีโครงสร้างชัดเจนและทำซ้ำได้ สนับสนุนกลุ่มคนทำงานทางไกลจากเกาหลีเหนืออยู่ 

ไม่ว่าจะเป็นการสร้างหรือจัดหาตัวตนปลอม สร้างประวัติการทำงานในฐานะนักพัฒนาซอฟต์แวร์ให้ดูน่าเชื่อถือ สร้างพอร์ตโฟลิโอและแหล่งรวมโปรเจกต์ให้ดูมีน้ำหนักยิ่งขึ้น ตลอดจนการรักษาสถานะช่องทางการสื่อสาร ช่องทางชำระเงินที่เกี่ยวข้อง รวมถึงการเตรียมชุดคำตอบสำหรับการสมัครงานที่ผ่านการปรับแต่งมาโดยเฉพาะ 

และหนึ่งในข้อค้นพบที่สำคัญสุดๆ คือ ในคลังเก็บข้อมูล (Archive) มีข้อมูลตัวตนของ Dominic Williams และ Dejan Teofilovic เผยให้เห็นข้อมูลเชิงลึกถึงวิธีการสร้างตัวตน การรักษาตัวตน และยังมีการส่งต่อแพ็กเกจข้อมูล 'ตัวตนปลอม' ระหว่างกลุ่มคนทำงานด้วยกัน 

เทคนิคที่ใช้ กับการทำงานเป็นระบบ เชื่อมโยงเป็นเครือข่าย

Group-IB สืบต่อโดยใช้ DarkWeb (Group-IB DarkWeb forum monitoring) ระบบเฝ้าระวังของบริษัท ตรวจสอบความเชื่อมโยงต่างๆ จนพบว่า มีกลุ่มผู้ไม่ประสงค์ดีพยายามกว้านซื้อบัญชีจากแพลตฟอร์ม Upwork ที่ผ่านการยืนยันตัวตนแล้วตั้งแต่ปี 2021 ทั้งยังพบหลักฐานอีกว่า โฟลเดอร์ข้อมูลของ Dejan Teofilovic เป็นหนึ่งในบัญชีที่ถูกซื้อจากนายหน้า (Broker) ของ Upwork 

ทั้งหมดนี้สรุปได้ว่า ตัวตนปลอมที่ DPRK IT workers สร้างขึ้น ใช้รูปแบบ การเข้าถึง (องค์กร) เป้าหมายผ่านการจ้างงาน (Labor-enabled access model) นั่นเอง

ส่วนเทคนิคที่ใช้ Group-IB ระบุว่า กลุ่มคนทำงานจากเกาหลีเหนือไม่ได้ใช้มัลแวร์ในการโจมตีแบบดั้งเดิมแล้ว แต่ใช้เทคนิค 1) วิศวกรรมสังคม (Social Engineering) คือ โน้มน้าวให้เชื่อและคลิกดูข้อมูล 2) การสร้างตัวตนปลอม (Synthetic Identity) บนแพลตฟอร์มหางานยอดนิยม เช่น GitHub, LinkedIn, Upwork ร่วมกับการทำงานกันเป็นเครือข่าย และ 3) การใช้แพลตฟอร์มไม่ถูกต้องตามวัตถุประสงค์ตั้งต้น ทั้งยังใช้เทคโนโลยี AI ช่วย เช่น ใช้ ChatGPT เขียนตอบโต้กับนายจ้างบนแพลตฟอร์มต่างๆ ใช้ ChatGPT สร้างเรซูเม่ ตลอดจนใช้ปรับแต่งข้อมูลพอร์ตโฟลิโอ และปรับแต่งภาพถ่ายซ้ำๆ ในหลายตัวตน 

ในด้านเป้าหมายหลักของ Jasper Sleet หรือ กลุ่มคนทำงานไอทีจากเกาหลีเหนือ คือ หาเงินสนับสนุนโครงการอาวุธของเกาหลีเหนือ รวมถึงขโมยข้อมูลสำคัญอย่างซอร์สโค้ดองค์กร ลิขสิทธิ์หรือทรัพย์สินทางปัญญา ตลอดจนความลับทางการค้า แล้วข่มขู่เรียกเงินจากองค์กรเพื่อไม่ให้ความลับรั่วไหล

และเพื่อตบตาบริษัทนายจ้าง หลังจาก DPRK IT workers ได้งานทางไกลก็จะอาศัย Laptop farms หรือ เครือข่ายแล็ปท็อปของอาชญากรที่จัดตั้งขึ้นในสหรัฐอเมริกาซึ่งมักทำงานร่วมกับองค์กรอาชญากรรมข้ามชาติ สวมรอยเป็น Remote Workers รับอุปกรณ์คอมพิวเตอร์และรีโมทเข้าสู่ระบบเครือข่ายองค์กร แบบไม่ให้บริษัทต้นทางตรวจสอบที่ตั้งหรือที่อยู่จริงของคนทำงานได้

แล้วองค์กรจะรับมือ 'ตัวตนปลอม' อย่างไร

Souce : https://www.microsoft.com
ความท้าทายที่ใหญ่ที่สุดของ Synthetic Identity คือ ตรวจจับได้ยาก เพราะมี 'ข้อมูลจริง' ปะปนอยู่ ทำให้โปรไฟล์เหล่านี้สามารถหลบเลี่ยงระบบยืนยันตัวตน (Verification protocols) แบบดั้งเดิมขององค์กรต่างๆ ได้

เพื่อรับมือกับภัยคุกคามที่มาในรูปแบบ 'ตัวตนปลอม' Group-IB ย้ำว่า องค์กรควรยกระดับการตรวจสอบตัวตนของผู้สมัครอย่างเข้มงวด เช่น 

• ให้ผู้สมัครเปิดกล้องวิดีโอสัมภาษณ์แบบไม่ใช้ฟิลเตอร์ (ภาคบังคับ) เพื่อป้องกันการใช้ AI ปลอมแปลงใบหน้า 
• ให้แผนกการเงินตรวจสอบบัญชีธนาคารที่ผู้สมัครใช้รับเงินเดือนอย่างเข้มงวด ว่าใช้ชื่อเดียวกัน ข้อมูลตรงกัน และหากพนักงานต้องการเปลี่ยนแปลงข้อมูลบัญชีธนาคารใดๆ ในนาทีสุดท้าย อาจต้องมีการตรวจสอบที่เข้มงวดยิ่งขึ้น
  
• จำกัดการใช้อุปกรณ์ส่วนตัวในการเข้าถึงทรัพยากรต่างๆ ขององค์กร โดยใช้หลักการ 'ให้สิทธิ์เข้าถึงขั้นต่ำสุด' เพื่อให้แน่ใจว่าพนักงานใหม่ที่ทำงานทางไกลจะมีสิทธิ์เข้าถึงเฉพาะเครือข่ายหรือข้อมูลที่จำเป็นเท่านั้น 
• สังเกตพนักงานใหม่ที่หลีกเลี่ยงการมีปฏิสัมพันธ์ เช่น การประชุม การสนทนาผ่าน Teams หรือ Meets  
• เฝ้าระวังพฤติกรรมการเข้าถึงระบบเครือข่ายที่ผิดปกติ รวมถึงคอยตรวจสอบการเข้าถึงพื้นที่เก็บโค้ด กิจกรรมการคัดลอกโค้ดจำนวนมากนอกเวลาทำงานปกติ

ในมุมของ Microsoft ให้คำแนะนำไว้หลายข้อ ดังนี้

• ตรวจสอบให้แน่ใจว่าผู้สมัครงานมีข้อมูลดิจิทัลที่น่าเชื่อถือ รวมถึงหมายเลขโทรศัพท์จริง (ไม่ใช่ VoIP) ที่อยู่ และบัญชีโซเชียลมีเดีย ต้องไม่ไปคล้ายคลึงกับบัญชีของบุคคลอื่น หรือไม่ได้ถูกใช้โดยบัญชีอื่น
• ตรวจสอบประวัติการทำงานอย่างละเอียด เพื่อให้แน่ใจว่าชื่อ ที่อยู่ และวันที่ตรงกัน และอาจติดต่อบุคคลอ้างอิงทางโทรศัพท์หรือวิดีโอคอลล์ร่วมด้วย 
• ตรวจสอบพนักงานของบริษัทจัดหางานเข้มงวดมากขึ้น เนื่องจากนี่เป็นช่องทางที่ง่ายที่สุดสำหรับอาชญากรไซเบอร์ที่จะแทรกซึมเข้าสู่บริษัทเป้าหมาย
• ตรวจสอบว่าผู้สมัครงานคนนั้นทำงานในหลายบริษัทโดยใช้ชื่อผู้ใช้เดียวกันหรือไม่
• ตรวจสอบให้แน่ใจว่าผู้สมัครงานปรากฏตัวบนกล้องระหว่างการประชุมทางไกลผ่านวิดีโอ หากผู้สมัครงานรายงานปัญหาเกี่ยวกับวิดีโอและ/หรือไมโครโฟน ทำให้ไม่สามารถเข้าร่วมประชุมได้ ให้พิจารณาว่านี่เป็นสัญญาณเตือน
• ระหว่างตรวจสอบผ่านทางวิดีโอ ขอให้บุคคลนั้นถือใบขับขี่ หนังสือเดินทาง หรือเอกสารประจำตัวขึ้นมาให้กล้องเห็น
• ให้เก็บบันทึก รวมถึงวิดีโอตอนสัมภาษณ์ หรือข้อมูลอื่นๆ ที่เกี่ยวข้องกับการมีปฏิสัมพันธ์กับผู้สมัครงานเอาไว้

.............................................

แหล่งข้อมูลอ้างอิง

• What is Synthetic Identity?
• Jasper Sleet: North Korean remote IT workers’ evolving tactics to infiltrate organizations
  
• Cyber Saga: In the Footsteps of the DPRK IT Workers
  
• GitLab Threat Intelligence Team reveals North Korean tradecraft