ភាពវៃឆ្លាតទិន្នន័យជំនាន់

សន្តិសុខ​តាម​ប្រព័ន្ធ​អ៊ីនធឺណិត

APTs កូរ៉េខាងជើង 3 នាក់បានស៊ើបការណ៍លើឧស្សាហកម្មការពារជាតិកូរ៉េខាងត្បូង

បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ
បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ

កាលបរិច្ឆេទ:

ទស្សនៈ: 0

ការគម្រាមកំហែងឥតឈប់ឈរកម្រិតខ្ពស់ (APTs) របស់កូរ៉េខាងជើងបាននិងកំពុងធ្វើចារកម្មយ៉ាងស្ងៀមស្ងាត់លើអ្នកម៉ៅការការពារជាតិកូរ៉េខាងត្បូងយ៉ាងហោចណាស់មួយឆ្នាំកន្លះ ដោយបានជ្រៀតចូលទៅក្នុងអង្គការចំនួន 10 ។

ប៉ូលីសកូរ៉េខាងត្បូងនៅសប្តាហ៍នេះ ត្រូវបានដោះលែង ការរកឃើញនៃការស៊ើបអង្កេត ដែលបានរកឃើញយុទ្ធនាការចារកម្មស្របគ្នាដែលធ្វើឡើងដោយ អាន់ឌៀល (ហៅថា Onyx Sleet, Silent Chollima, Plutonium), គីមស៊ុក (aka APT 43, Thallium, Velvet Chollima, Black Banshee) និងក្រុម Lazarus ទូលំទូលាយ។ កម្លាំង​សមត្ថកិច្ច​មិន​បាន​ប្រាប់​ឈ្មោះ​អង្គការ​ការពារ​ជន​រង​គ្រោះ ឬ​ផ្តល់​ព័ត៌មាន​លម្អិត​អំពី​ទិន្នន័យ​ដែល​ត្រូវ​គេ​លួច​នោះ​ទេ។

ការ​ប្រកាស​នេះ​ធ្វើ​ឡើង​មួយ​ថ្ងៃ​បន្ទាប់​ពី​កូរ៉េ​ខាង​ជើង​បាន​ធ្វើ​ការ​របស់​ខ្លួន សមយុទ្ធលើកទីមួយ ដែលក្លែងធ្វើការវាយប្រហារនុយក្លេអ៊ែរ.

APTs កូរ៉េខាងជើងនៅតែបន្ត

មានប្រទេសតិចតួចណាស់ដែលដឹងពីការគំរាមកំហែងតាមអ៊ីនធឺណិតពីរដ្ឋបរទេសដូចជាកូរ៉េខាងត្បូង ហើយមានឧស្សាហកម្មតិចតួចដែលដឹងដូចជាយោធា និងការពារជាតិ។ ហើយនៅតែ Kim ល្អបំផុត តែងតែស្វែងរកផ្លូវ.

លោក Ngoc Bui អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតនៅ Menlo Security បាននិយាយសោកស្ដាយថា "ការគំរាមកំហែង APT ជាពិសេសត្រូវបានជំរុញដោយតួអង្គកម្រិតរដ្ឋ គឺពិតជាពិបាកនឹងទប់ស្កាត់ទាំងស្រុង" ។ "ប្រសិនបើ APT ឬតារាសម្តែងមានការលើកទឹកចិត្តខ្ពស់ មានឧបសគ្គមួយចំនួនដែលមិនអាចយកឈ្នះបាន"។

ជាឧទាហរណ៍ ក្នុងខែវិច្ឆិកា ឆ្នាំ 2022 Lazarus បានកំណត់គោលដៅអ្នកម៉ៅការដែលមានការយល់ដឹងអំពីអ៊ីនធឺណិតគ្រប់គ្រាន់ដើម្បីដំណើរការបណ្តាញខាងក្នុង និងខាងក្រៅដាច់ដោយឡែក។ ទោះជាយ៉ាងណាក៏ដោយ ពួក Hacker បានទាញយកអត្ថប្រយោជន៍ពីការធ្វេសប្រហែសរបស់ពួកគេក្នុងការគ្រប់គ្រងប្រព័ន្ធតភ្ជាប់ទាំងពីរ។ ទីមួយ ពួក Hacker បានរំលោភបំពាន និងឆ្លងមេរោគលើម៉ាស៊ីនមេបណ្តាញខាងក្រៅ។ ខណៈពេលដែលការការពារត្រូវបានធ្លាក់ចុះសម្រាប់ការធ្វើតេស្តបណ្តាញ ពួកគេបានឆ្លងកាត់ប្រព័ន្ធតភ្ជាប់បណ្តាញ និងចូលទៅក្នុងខាងក្នុង។ បន្ទាប់មកពួកគេបានចាប់ផ្តើមប្រមូលផល និងទាញយក "ទិន្នន័យសំខាន់ៗ" ចេញពីកុំព្យូទ័របុគ្គលិកចំនួនប្រាំមួយ។

ក្នុងករណីមួយផ្សេងទៀតដែលចាប់ផ្តើមនៅខែតុលាឆ្នាំ 2022 លោក Andariel ទទួលបានព័ត៌មានចូលជាកម្មសិទ្ធិរបស់និយោជិតនៃក្រុមហ៊ុនដែលធ្វើការថែទាំផ្នែកព័ត៌មានវិទ្យាពីចម្ងាយសម្រាប់អ្នកម៉ៅការការពារម្នាក់ដែលកំពុងចោទសួរ។ ដោយប្រើគណនីដែលត្រូវបានលួច វាបានឆ្លងមេរោគដល់ម៉ាស៊ីនមេរបស់ក្រុមហ៊ុនជាមួយនឹងមេរោគ និងទិន្នន័យដែលត្រូវបានបណ្តេញចេញទាក់ទងនឹងបច្ចេកវិទ្យាការពារ។

ប៉ូលីសក៏បានគូសបញ្ជាក់អំពីឧប្បត្តិហេតុដែលអូសបន្លាយពីខែមេសា ដល់ខែកក្កដា ឆ្នាំ 2023 ដែលក្នុងនោះ Kimsuky បានកេងប្រវ័ញ្ចលើ server email groupware ដែលប្រើប្រាស់ដោយក្រុមហ៊ុនដៃគូរបស់ក្រុមហ៊ុនការពារជាតិមួយ។ ភាពងាយរងគ្រោះបានអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលគ្មានការអនុញ្ញាតទាញយកឯកសារធំ ៗ ដែលត្រូវបានផ្ញើនៅខាងក្នុងតាមរយៈអ៊ីមែល។

ការបណ្តេញឡាសារចេញ

ការប្រើប្រាស់សម្រាប់អាជ្ញាធរ លោក Bui ពន្យល់ថា “ក្រុមកូរ៉េខាងជើងដូចជា Lazarus ជារឿយៗប្រើឡើងវិញមិនត្រឹមតែមេរោគរបស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់ពួកគេផងដែរ ដែលអាចជាទាំងភាពងាយរងគ្រោះ និងកម្លាំងក្នុងប្រតិបត្តិការរបស់ពួកគេ។ ការបរាជ័យរបស់ OPSEC របស់ពួកគេ និងការប្រើប្រាស់ឡើងវិញនូវហេដ្ឋារចនាសម្ព័ន្ធ រួមផ្សំជាមួយនឹងយុទ្ធសាស្ត្រច្នៃប្រឌិត ដូចជាក្រុមហ៊ុនដែលជ្រៀតចូល ធ្វើឱ្យពួកគេគួរឱ្យចាប់អារម្មណ៍ជាពិសេសក្នុងការត្រួតពិនិត្យ។

ជនល្មើសដែលនៅពីក្រោយការបំពានផ្នែកការពារនីមួយៗត្រូវបានកំណត់អត្តសញ្ញាណដោយសារមេរោគដែលពួកគេបានដាក់ពង្រាយក្រោយការសម្របសម្រួល - រួមទាំង Nukesped និង Tiger ការចូលប្រើពីចម្ងាយ Trojans (RATs) ក៏ដូចជាស្ថាបត្យកម្ម និងអាសយដ្ឋាន IP របស់ពួកគេ។ គួរកត់សម្គាល់ថា IPs មួយចំនួនដែលបានតាមដានទៅកាន់ទីក្រុង Shenyang ប្រទេសចិន និងការវាយប្រហារកាលពីឆ្នាំ 2014 ប្រឆាំងនឹងក្រុមហ៊ុន Korea Hydro & Nuclear Power Co.

ទីភ្នាក់ងារប៉ូលិសជាតិកូរ៉េបាននិយាយនៅក្នុងសេចក្តីថ្លែងការណ៍មួយថា "ការប៉ុនប៉ងលួចចូលរបស់កូរ៉េខាងជើងដែលផ្តោតលើបច្ចេកវិទ្យាការពារជាតិត្រូវបានគេរំពឹងថានឹងបន្ត" ។ ទីភ្នាក់ងារនេះណែនាំថាក្រុមហ៊ុនការពារជាតិ និងដៃគូរបស់ពួកគេប្រើការផ្ទៀងផ្ទាត់កត្តាពីរ និងផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលជាប់ទាក់ទងជាមួយគណនីរបស់ពួកគេជាទៀងទាត់ បិទខាងក្នុងពីបណ្តាញខាងក្រៅ និងរារាំងការចូលប្រើប្រាស់ធនធានរសើបសម្រាប់អាសយដ្ឋាន IP បរទេសដែលមិនមានការអនុញ្ញាត និងមិនចាំបាច់។

spot_img

បញ្ញាចុងក្រោយ

spot_img

រក្សាសិទ្ធិ @ 2024 Plato Technologies Inc.

ជជែកជាមួយយើង

សួស្តី! តើខ្ញុំអាចជួយអ្នកដោយរបៀបណា?