บทเรียนจาก Amazon เจาะกลยุทธ์ "ไอทีเกาหลีเหนือ" แฝงตัวเข้าองค์กรระดับโลก สกัดแผนแทรกซึมกว่า 1,800 คน เผยจับโป๊ะจาก “จังหวะการพิมพ์”
สตีเฟน ชมิดต์ CSO แห่ง Amazon ออกโรงเตือนภัยเครือข่ายจารกรรมเกาหลีเหนือที่ยกระดับความแนบเนียนด้วยการสวมรอยวิศวกรซอฟต์แวร์ตัวจริง และใช้ "Laptop Farms" บังหน้าเพื่อทำงานทางไกลจากในสหรัฐฯ เผยเบาะแสสำคัญที่ใช้กระชากหน้ากากอาชญากรไซเบอร์เหล่านี้ คือพฤติกรรมเล็กน้อยที่คาดไม่ถึงอย่างการจัดรูปแบบเบอร์โทรศัพท์ไปจนถึงจังหวะการกดแป้นพิมพ์
ในช่วงไม่กี่ปีที่ผ่านมา เครือข่ายไอทีจากเกาหลีเหนือ (DPRK) ได้พยายามแทรกซึมเข้าทำงานในรูปแบบ Remote Working กับบริษัทเทคโนโลยีชั้นนำทั่วโลก โดยเฉพาะในสหรัฐอเมริกา เป้าหมายหลักคือการแฝงตัวเข้าไปรับเงินเดือนเพื่อส่งรายได้กลับไปสนับสนุนโครงการอาวุธของรัฐบาลเกาหลีเหนือ
Amazon เปิดเผยว่า ตั้งแต่เดือนเมษายน 2024 บริษัทได้สกัดกั้นผู้สมัครที่ต้องสงสัยว่าเป็นเครือข่ายจารกรรมไปแล้วกว่า 1,800 คน โดยพบว่าสถิติการพยายามแทรกซึมเพิ่มสูงขึ้นถึง 27% ในแต่ละไตรมาสของปีนี้
เจาะกลยุทธ์ไอทีเกาหลีเหนือแฝงตัวทำงาน Big Tech
สตีเฟน ชมิดต์ (Stephen Schmidt) รองประธานอาวุโสและประธานเจ้าหน้าที่ฝ่ายความปลอดภัย (CSO) ของ Amazon ได้เจาะลึกถึงกลยุทธ์ที่เครือข่ายเหล่านี้ใช้ ซึ่งมีการวิวัฒนาการจนน่าตกใจ ดังนี้
การสวมรอยที่ซับซ้อนขึ้น : แทนที่จะสร้างโปรไฟล์ปลอมขึ้นมาใหม่ เครือข่ายเหล่านี้หันมาพุ่งเป้าขโมยอัตลักษณ์ของ "วิศวกรซอฟต์แวร์ที่มีตัวตนอยู่จริง" เพื่อสร้างความน่าเชื่อถือและผ่านการตรวจสอบประวัติได้ง่ายขึ้น
การจารกรรมบัญชี LinkedIn : มีการแฮกบัญชีที่ไม่ได้ใช้งาน (Dormant Accounts) หรือแม้กระทั่งการ "เช่าบัญชี" จากเจ้าของตัวจริงเพื่อใช้ในการสมัครงาน
มุ่งเป้าสายงาน AI และ ML : ตำแหน่งด้าน Artificial Intelligence และ Machine Learning กลายเป็นเป้าหมายหลัก เนื่องจากเป็นที่ต้องการสูงและบริษัทส่วนใหญ่มักแข่งขันกันแย่งชิงตัวพนักงานจนอาจละเลยรายละเอียดบางอย่าง
เครือข่าย Laptop Farms : ผู้ปฏิบัติงานมักมีผู้สมรู้ร่วมคิดในสหรัฐฯ ทำหน้าที่รับพัสดุและติดตั้งอุปกรณ์คอมพิวเตอร์ (Laptop Farms) เพื่อตบตาว่าทำงานอยู่ภายในประเทศ (Domestic Presence) ในขณะที่ตัวคนทำงานจริง ๆ ปฏิบัติงานแบบ Remote จากนอกประเทศ
การวิเคราะห์ "จังหวะการพิมพ์" และพฤติกรรมทางเทคนิค : Amazon ใช้โมเดล AI ขั้นสูงวิเคราะห์ความเชื่อมโยงกับสถาบันที่มีความเสี่ยง รวมถึงตรวจสอบความผิดปกติเล็กน้อย เช่น ความหน่วงและจังหวะการกดแป้นพิมพ์ (Typing Latency) ซึ่งเป็นเอกลักษณ์เฉพาะตัวที่ยากจะปลอมแปลงได้
ประวัติการศึกษาที่เปลี่ยนไปเรื่อย ๆ : การระบุว่าจบจากมหาวิทยาลัยในเอเชียตะวันออก มาเป็นสถาบันในรัฐที่ไม่มีภาษีเงินได้ จนล่าสุดเปลี่ยนมาเป็นสถานศึกษาในแคลิฟอร์เนียและนิวยอร์ก ดังนั้น จึงต้องคอยตรวจสอบวุฒิการศึกษาจากโรงเรียนที่ไม่ได้เปิดสอนในสาขาที่อ้าง หรือตรวจสอบวันที่จบการศึกษาที่ไม่สอดคล้องกับปฏิทินวิชาการ
เบาะแสจากรายละเอียดเล็กน้อย : รูปแบบการจัดวางตัวเลขก็เป็นกุญแจสำคัญ เช่น ผู้สมัครเหล่านี้มักเขียนหมายเลขโทรศัพท์ขึ้นต้นด้วย "+1" (รูปแบบสากล) แทนที่จะเป็น "1" (รูปแบบที่คนในสหรัฐฯ นิยมใช้) เมื่อนำข้อมูลเล็ก ๆ เหล่านี้มารวมกันจะช่วยให้เห็นภาพรวมของเครือข่ายจารกรรมได้อย่างชัดเจน
เตือนองค์กรเพิ่มความเข้มงวด ตรวจสอบประวัติการศึกษาละเอียด
สตีเฟน ชมิดต์ ย้ำว่าภัยคุกคามนี้ไม่ได้เกิดขึ้นเฉพาะที่ Amazon แต่กำลังระบาดไปทั่วอุตสาหกรรมเทคโนโลยี พร้อมแนะนำให้องค์กรต่าง ๆ เพิ่มความเข้มงวดในการยืนยันตัวตนหลายขั้นตอน ตรวจสอบประวัติการศึกษาอย่างละเอียด โดยเฉพาะกรณีมหาวิทยาลัยที่ไม่มีสาขาวิชานั้นจริง ๆ และเฝ้าระวังพฤติกรรมทางเทคนิคที่ผิดปกติ เช่น การเข้าถึงระบบจากระยะไกลที่ดูแปลกไป หรือการใช้อุปกรณ์ที่ไม่ได้รับอนุญาต
หากพบพนักงานที่เข้าข่ายสงสัย Amazon สนับสนุนให้รีบรายงานต่อ FBI หรือหน่วยงานที่เกี่ยวข้องทันที เพราะการแบ่งปันข้อมูลร่วมกันคืออาวุธสำคัญที่จะทำให้ขบวนการเหล่านี้ทำงานได้ยากขึ้น
ที่มา : https://bit.ly/4pMxjWT
อัปเดตข้อมูลแวดวงวิทยาศาสตร์ เทคโนโลยี รู้ทันโลกไอที และโซเชียลฯ ในรูปแบบ Audio จาก AI เสียงผู้ประกาศของไทยพีบีเอส ได้ที่ Thai PBS
“รอบรู้ ดูกระแส ก้าวทันโลก” ไปกับ Thai PBS Sci & Tech
