Google ในสังกัด Mandiant หน่วยงานความปลอดภัยทางไซเบอร์ ได้ยืนยันว่า กลุ่มแฮกเกอร์เกาหลีเหนือที่ต้องสงสัย เป็นผู้รับผิดชอบเหตุโจมตีห่วงโซ่อุปทานของ axios ในวันอังคารของสัปดาห์นี้ โดยผู้โจมตีได้บุกรุกบัญชีของผู้พัฒนาที่ดูแลซอฟต์แวร์โอเพนซอร์ส axios และในช่วงเวลาประมาณสามชั่วโมงในเช้าวันอังคาร ได้ทำการพุชการอัปเดตที่เป็นอันตรายไปยังทุกองค์กรที่ดาวน์โหลดซอฟต์แวร์ดังกล่าว โดยมีเป้าหมายเพื่อขโมยสินทรัพย์เข้ารหัสของบริษัทเพื่อใช้สนับสนุนแผนโครงการนิวเคลียร์และขีปนาวุธของเกาหลีเหนือ
รายละเอียดการปฏิบัติการโจมตี: การโจมตีห่วงโซ่อุปทานที่แม่นยำในเวลา 3 ชั่วโมง
การกระทำของแฮกเกอร์ได้แสดงให้เห็นถึงลักษณะประสิทธิภาพสูงของการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ ผู้โจมตีเริ่มจากได้สิทธิ์ควบคุมบัญชีของผู้พัฒนาโอเพนซอร์ส axios ทันที ต่อจากนั้นก็ส่งเวอร์ชันที่แฝงโค้ดอันตรายโดยปลอมตัวให้ดูเหมือนเป็นการอัปเดตอย่างเป็นทางการภายใต้ตัวตนที่ถูกต้องตามกฎหมาย ในช่วงเวลานั้นซึ่งกินเวลาเพียงสามชั่วโมง ใดๆ ก็ตามที่ระบบอัตโนมัติขององค์กรกำลังทำการอัปเดตตามปกติ ก็จะติดตั้งเวอร์ชันที่มีแบ็กดอร์นี้โดยไม่รู้ตัว
Ben Read หัวหน้าฝ่ายยุทธศาสตร์ด้านข่าวกรองภัยคุกคามของบริษัทในสังกัด Google ชี้ว่า: “เกาหลีเหนือไม่ได้กังวลกับชื่อเสียงของตนเองหรือการถูกระบุตัวตนในท้ายที่สุด ดังนั้นแม้การกระทำแบบนี้จะเป็นที่จับตามองอย่างมาก แต่พวกเขาก็ยังยินดีที่จะจ่ายต้นทุนเช่นนี้”
John Hammond นักวิจัยด้านความปลอดภัยของ Huntress ยังกล่าวเพิ่มเติมว่า ช่วงเวลาครั้งนี้ “เหมาะเจาะพอดี” โดยชี้ตรงไปที่ว่าองค์กรต่างๆ กำลังนำ AI เอเจนต์มาใช้ในการพัฒนาซอฟต์แวร์เป็นจำนวนมาก “ไม่มีการตรวจสอบหรือข้อจำกัดใดๆ” ทำให้ช่องโหว่ในห่วงโซ่อุปทานถูกใช้ประโยชน์อย่างเป็นระบบได้ง่ายขึ้น
ข้อค้นพบจากการสืบสวน: ขนาดผู้เสียหายและทิศทางการโจมตีในอนาคต
ขณะนี้ การสืบสวนที่เปิดเผยออกมาชี้ถึงภัยคุกคามหลายมิติดังนี้:
อุปกรณ์ที่ได้รับผลกระทบ: Huntress ระบุอุปกรณ์ที่ถูกบุกรุกประมาณ 135 เครื่อง แบ่งอยู่ในราว 12 บริษัท โดยคาดว่านี่เป็นเพียงส่วนเล็กๆ ของขนาดผู้เสียหายที่แท้จริง
เวลาในการประเมิน: Charles Carmakal ประธานเจ้าหน้าที่เทคนิคของ Mandiant เตือนว่า การประเมินผลกระทบทั้งหมดจากการโจมตีครั้งนี้อาจต้องใช้เวลาหลายเดือน
ทิศทางการโจมตีขั้นต่อไป: Mandiant คาดการณ์ว่า ผู้โจมตีจะใช้ข้อมูลประจำตัวที่ถูกขโมยและสิทธิ์การเข้าถึงระบบ เพื่อมุ่งเป้าไปที่สินทรัพย์เข้ารหัสขององค์กรเพิ่มเติมและลงมือขโมย
ความเปราะบางของห่วงโซ่อุปทาน: Hammond ระบุว่า “มีคนจำนวนมากเกินไปที่ไม่สนใจองค์ประกอบที่ประกอบเป็นซอฟต์แวร์ที่ตนใช้อยู่แล้ว ซึ่งทำให้เกิดช่องโหว่ขนาดใหญ่ต่อทั้งห่วงโซ่อุปทาน”
ข้อมูลพื้นฐานทางประวัติศาสตร์: การยกระดับอย่างเป็นระบบของการโจรกรรมดิจิทัลโดยเกาหลีเหนือ
การโจมตีครั้งนี้ต่อ axios เป็นกรณีล่าสุดของการเจาะระบบห่วงโซ่อุปทานซอฟต์แวร์อย่างเป็นระบบโดยเปียงยาง โดยเมื่อสามปีก่อน เจ้าหน้าที่เกาหลีเหนือที่ต้องสงสัยเคยเจาะเข้าไปยังผู้ให้บริการซอฟต์แวร์ด้านเสียงและวิดีโอที่ได้รับความนิยมอีกเจ้า หนึ่งปีที่แล้ว แฮกเกอร์เกาหลีเหนือขโมยสกุลเงินดิจิทัลมูลค่า 15 ล้านดอลลาร์สหรัฐในการโจมตีครั้งเดียว ซึ่งสร้างสถิติประวัติศาสตร์ในเวลานั้นสำหรับคดีแฮกเกอร์ด้านคริปโต
รายงานจากสหประชาชาติและองค์กรเอกชนหลายแห่งระบุว่า ในช่วงไม่กี่ปีที่ผ่านมา แฮกเกอร์เกาหลีเหนือได้ขโมยเงินหลายพันล้านดอลลาร์สหรัฐจากทั้งธนาคารและบริษัทสกุลเงินดิจิทัล ในปี 2023 เจ้าหน้าที่จากทำเนียบขาวเปิดเผยว่า แผนโครงการขีปนาวุธของเกาหลีเหนือมีเงินราวครึ่งหนึ่งมาจากการโจรกรรมดิจิทัลลักษณะนี้ ซึ่งทำให้ภัยคุกคามด้านความมั่นคงนี้มีนัยทางยุทธศาสตร์ระหว่างประเทศโดยตรง
คำถามที่พบบ่อย
axios คืออะไร และเหตุใดจึงกลายเป็นเป้าหมายของการโจมตีห่วงโซ่อุปทานครั้งนี้?
axios เป็นแพ็กเกจหลักของ JavaScript npm ที่ถูกใช้งานอย่างแพร่หลาย (เวอร์ชันที่ถูกโจมตีคือ 1.14.1) ช่วยให้นักพัฒนาจัดการคำขอ HTTP ของเว็บไซต์ โดยถูกนำไปใช้โดยบริษัทด้านการแพทย์ การเงิน และเทคโนโลยีหลายพันแห่ง ปริมาณการดาวน์โหลดที่สูงมากทำให้มันกลายเป็นเป้าหมายที่มีมูลค่าสูงสำหรับการโจมตีห่วงโซ่อุปทาน—หากสามารถเจาะบัญชีของผู้พัฒนาได้ ก็สามารถพุชโค้ดอันตรายไปยังองค์กรปลายทางจำนวนมากได้ภายในเวลาเพียงไม่กี่ชั่วโมง
การโจมตีครั้งนี้ส่งผลให้เกิดความเสี่ยงเฉพาะเจาะจงอะไรบ้างต่อบริษัทคริปโต?
การประเมินของ Mandiant ระบุว่า ผู้โจมตีจะใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าเจาะเพิ่มเข้าไปยังบริษัทที่ถือครองสินทรัพย์เข้ารหัส การที่บริษัทคริปโตและบริษัทเทคโนโลยีที่ใช้ axios เวอร์ชันที่ติดเชื้อ อาจได้เผลอให้ผู้โจมตีมีช่องทางเข้าถึงระบบภายในผ่านแบ็กดอร์โดยไม่รู้ตัว ทำให้คีย์ส่วนตัวของวอลเล็ต คีย์ API และเอกสาร/หลักฐานการทำธุรกรรมมีความเสี่ยงที่จะถูกขโมย
บริษัทควรประเมินและรับมือกับการโจมตีห่วงโซ่อุปทานของ axios ครั้งนี้อย่างไร?
แนะนำให้ดำเนินการตามขั้นตอนต่อไปนี้ทันที: ตรวจสอบว่าเวอร์ชัน axios ในระบบของคุณเป็นเวอร์ชันที่ถูกโจมตีหรือไม่; ตรวจสอบบันทึกการอัปเดตของช่วงเวลาที่เกิดการโจมตี (หน้าต่างสามชั่วโมงในเช้าวันอังคาร); สแกนว่ามีการเข้าถึงข้อมูลประจำตัวอย่างผิดปกติหรือพฤติกรรมการเชื่อมต่อภายนอกหรือไม่; และประสานงานกับหน่วยงานด้านความปลอดภัย เช่น Huntress และ Mandiant เพื่อทำการประเมินอย่างเป็นมืออาชีพ
