แฮกเกอร์เกาหลีเหนือจี้ Axios ในการโจมตีซัพพลายเชนที่ใช้เวลาหลายสัปดาห์ในการวางแผน
โปรเจกต์ที่ใช้กันอย่างแพร่หลายกลายเป็นช่องทางโจมตีทางไซเบอร์
ปฏิบัติการทางไซเบอร์ของเกาหลีเหนือได้จี้ Axios ซึ่งเป็นหนึ่งในโปรเจกต์โอเพนซอร์สที่ใช้กันอย่างแพร่หลายที่สุดบนเว็บชั่วคราว ในการโจมตีเมื่อวันที่ 31 มีนาคม ซึ่งดูเหมือนจะใช้เวลาเตรียมการหลายสัปดาห์ การบุกรุกครั้งนี้เน้นย้ำให้เห็นว่าแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐกำลังมุ่งเป้าไปที่โครงสร้างพื้นฐานซอฟต์แวร์ที่เชื่อถือได้มากขึ้นเรื่อยๆ ซึ่งการละเมิดเพียงครั้งเดียวอาจส่งผลกระทบต่อระบบนับพัน
Axios เป็นไลบรารี JavaScript ยอดนิยมที่นักพัฒนาใช้เพื่อเชื่อมต่อแอปพลิเคชันกับอินเทอร์เน็ต เนื่องจากมันอยู่ในซอฟต์แวร์จำนวนมาก การบุกรุกโปรเจกต์นี้จึงอาจมีผลกระทบที่กว้างขวางกว่าตัวโปรเจกต์เอง ในกรณีนี้ การอัปเดตที่เป็นอันตรายเผยแพร่ออกไปเพียงประมาณสามชั่วโมงก่อนที่จะถูกถอนออก แต่ช่วงเวลานั้นก็อาจเพียงพอที่จะแพร่เชื้อไปยังระบบนับพัน
การโจมตีครั้งนี้ได้รับการบันทึกไว้ในรายงานหลังเกิดเหตุโดย Jason Saayman ผู้ดูแลโปรเจกต์และได้อธิบายลำดับเวลาของการบุกรุก ตามที่ Saayman ระบุ ผู้โจมตีเริ่มกำหนดเป้าหมายเขาประมาณสองสัปดาห์ก่อนที่จะเข้าควบคุมคอมพิวเตอร์ของเขาและใช้มันเพื่อเผยแพร่โค้ดที่เป็นอันตราย
การหลอกลวงระยะยาวที่สร้างจากความไว้วางใจ
ปฏิบัติการนี้อาศัยความอดทนมากกว่าการใช้กำลัง Saayman กล่าวว่าผู้โจมตีแอบอ้างเป็นบริษัทจริง สร้างพื้นที่ทำงาน Slack ที่น่าเชื่อถือ และเติมโปรไฟล์พนักงานปลอมเข้าไปเพื่อให้การหลอกลวงดูสมจริง จากนั้นพวกเขาก็เชิญเขาเข้าร่วมการประชุมทางเว็บ ซึ่งกระตุ้นให้เขาดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นการอัปเดตที่จำเป็นสำหรับการเข้าร่วมการโทร
Saayman กล่าวว่าเหยื่อล่อนี้ตรงกับเทคนิคที่เคยเกี่ยวข้องกับแฮกเกอร์เกาหลีเหนือและถูกระบุโดยนักวิจัยด้านความปลอดภัยของ Google: วิธีการหลอกลวงทางสังคม (social-engineering) ที่โน้มน้าวเป้าหมายให้ติดตั้งซอฟต์แวร์ที่ให้ผู้โจมตีเข้าถึงจากระยะไกลได้ ในกรณีนี้ การเข้าถึงนั้นดูเหมือนจะเป็นกุญแจสำคัญในการเผยแพร่ Axios เวอร์ชันที่เป็นอันตราย
เหตุการณ์นี้แสดงให้เห็นว่าทำไมผู้ดูแลโอเพนซอร์สจึงกลายเป็นเป้าหมายที่มีมูลค่าสูง โปรเจกต์ยอดนิยมมักจะได้รับการดูแลโดยทีมเล็กๆ หรือแม้แต่นักพัฒนาเพียงคนเดียว แต่สามารถฝังอยู่ในแอปพลิเคชันและบริการนับไม่ถ้วน นั่นทำให้เครื่องมือส่วนตัวของผู้ดูแลเป็นจุดเข้าที่น่าสนใจสำหรับผู้โจมตีที่ต้องการบุกรุกซอฟต์แวร์ในวงกว้าง
ความเสี่ยงขยายวงกว้างเกินกว่าหนึ่งโปรเจกต์
ปกป้องความเป็นส่วนตัวของคุณด้วย Doppler VPN
ทดลองใช้ฟรี 3 วัน ไม่ต้องลงทะเบียน ไม่เก็บบันทึก
แพ็กเกจ Axios ที่เป็นอันตรายถูกลบออกอย่างรวดเร็ว แต่ก็ไม่ทันก่อนที่จะมีโอกาสแพร่กระจาย ระบบใดๆ ที่ติดตั้งหนึ่งในเวอร์ชันที่ถูกบุกรุกในช่วงเวลาที่เปิดเผยสั้นๆ อาจเสี่ยงต่อการถูกขโมย private keys, ข้อมูลประจำตัว (credentials) และรหัสผ่านที่เก็บไว้ในเครื่องนั้น ความลับที่ถูกขโมยเหล่านั้นสามารถนำไปใช้เพื่อเจาะลึกเข้าไปในระบบและบริการอื่นๆ ได้ ทำให้เหตุการณ์ซัพพลายเชนซอฟต์แวร์กลายเป็นการละเมิดที่กว้างขวางขึ้น
ความเป็นไปได้นั้นคือสิ่งที่ทำให้การโจมตีประเภทนี้น่ากังวลอย่างยิ่ง เหยื่อโดยตรงอาจเป็นแล็ปท็อปของนักพัฒนาหรือที่เก็บแพ็กเกจเดียว แต่เป้าหมายสุดท้ายอาจกว้างขวางกว่ามาก: ผู้ใช้และองค์กรที่เชื่อถือโปรเจกต์นี้เป็นส่วนหนึ่งของซอฟต์แวร์สแต็กของตนเอง
เหตุการณ์ Axios ยังสอดคล้องกับรูปแบบที่กว้างขึ้น แฮกเกอร์เกาหลีเหนือยังคงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่กระตือรือร้นที่สุดบนอินเทอร์เน็ต และพวกเขามักจะเชื่อมโยงกับปฏิบัติการที่รวมการหลอกลวงทางสังคม (social engineering), การขโมยข้อมูลประจำตัว (credential theft) และมัลแวร์เข้าถึงระยะไกล (remote-access malware) แคมเปญของพวกเขามักจะทำให้เส้นแบ่งระหว่างการจารกรรมและอาชญากรรมที่ขับเคลื่อนด้วยแรงจูงใจทางการเงินพร่ามัว โดยการขโมยสกุลเงินดิจิทัลมักจะเป็นส่วนหนึ่งของการผสมผสานนี้
กลยุทธ์ที่คุ้นเคย คำเตือนที่ใหญ่กว่า
สิ่งที่ทำให้การบุกรุกครั้งล่าสุดนี้โดดเด่นไม่ใช่แค่เป้าหมาย แต่เป็นวิธีการที่เป็นระบบที่มันเกิดขึ้น ผู้โจมตีไม่ได้เพียงแค่ใช้ประโยชน์จากข้อบกพร่องทางเทคนิคในโค้ดของโปรเจกต์ พวกเขาลงทุนเวลาในการสร้างตัวตนที่น่าเชื่อถือ สร้างความไว้วางใจจากผู้ดูแล และในที่สุดก็เข้าถึงเครื่องที่ใช้เผยแพร่การอัปเดตอย่างเป็นทางการได้
แนวทางดังกล่าวเน้นย้ำถึงความเป็นจริงที่ยากลำบากสำหรับระบบนิเวศโอเพนซอร์ส: ความปลอดภัยของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายไม่ได้ขึ้นอยู่กับการตรวจสอบโค้ดและการตรวจสอบแพ็กเกจเท่านั้น แต่ยังขึ้นอยู่กับการป้องกันส่วนบุคคลของผู้ที่ดูแลโค้ดด้วย ในขณะที่แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐและกลุ่มอาชญากรยังคงกำหนดเป้าหมายผู้ดูแลเหล่านั้น ซัพพลายเชนเองก็กลายเป็นแนวหน้าในความขัดแย้งทางไซเบอร์
Saayman ไม่ได้ตอบคำถามเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ทันที ขอบเขตทั้งหมดของการบุกรุกยังคงอยู่ระหว่างการประเมิน แต่บทเรียนก็ชัดเจนแล้ว: เมื่อซอฟต์แวร์ที่เชื่อถือได้ถูกจี้ รัศมีของผลกระทบสามารถขยายออกไปไกลเกินกว่าโปรเจกต์ที่ถูกละเมิด
แหล่งที่มา: