TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
เทคโนโลยีสารสนเทศ
ความปลอดภัยทางไซเบอร์
สินทรัพย์ดิจิทัล
การเปลี่ยนแปลงสู่ดิจิทัล
การประยุกต์ใช้บล็อกเชน

Google เปิดโปงแฮกเกอร์เกาหลีเหนือใช้บล็อกเชนเป็นโฮสต์มัลแวร์ที่กำจัดไม่ได้

ทีมบรรณาธิการ BigGo
Google เปิดโปงแฮกเกอร์เกาหลีเหนือใช้บล็อกเชนเป็นโฮสต์มัลแวร์ที่กำจัดไม่ได้

รายงานความปลอดภัยทางไซเบอร์ฉบับใหม่จาก Google เปิดเผยว่าแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ โดยเฉพาะกลุ่มที่เกี่ยวข้องกับเกาหลีเหนือ กำลังใช้ประโยชน์จากคุณสมบัติที่ไม่สามารถเปลี่ยนแปลงได้ของบล็อกเชนสาธารณะ เพื่อสร้างระบบกระจายมัลแวร์ที่เกือบจะทำลายไม่ได้ เทคนิคนี้ซึ่งมีชื่อเรียกว่า EtherHiding ถือเป็นวิวัฒนาการสำคัญของโครงสร้างพื้นฐานการโจมตีทางไซเบอร์ โดยเปลี่ยนเทคโนโลยีพื้นฐานของคริปโตเคอร์เรนซีให้กลายเป็นอาวุธต่อต้านชุมชนความปลอดภัยที่สนับสนุนการกระจายอำนาจ

ภาพที่น่าสนใจของเทคโนโลยีบลอกเชนที่แสดงให้เห็นถึงความซับซ้อนและนวัตกรรม เกี่ยวข้องกับการวิเคราะห์ภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ
ภาพที่น่าสนใจของเทคโนโลยีบลอกเชนที่แสดงให้เห็นถึงความซับซ้อนและนวัตกรรม เกี่ยวข้องกับการวิเคราะห์ภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ

การเกิดขึ้นของ EtherHiding

Google's Threat Intelligence Group ระบุว่าพบแคมเปญที่ซับซ้อนซึ่งแฮกเกอร์ฝังโค้ดประสงค์ร้ายลงในสัญญาอัจฉริยะบนบล็อกเชนสาธารณะ เช่น Ethereum และ BNB Smart Chain โดยตรง แนวทางนี้แสดงถึงสิ่งที่นักวิจัยอธิบายว่าเป็นโฮสติ้งยุคต่อไปที่ยากจะหยุดยั้ง ซึ่งขจัดความจำเป็นสำหรับเซิร์ฟเวอร์แบบดั้งเดิมนอกชายฝั่งที่บางครั้งอาจถูกขัดขวางโดยหน่วยงานบังคับใช้กฎหมาย การออกแบบโดยธรรมชาติของเทคโนโลยีบล็อกเชน โดยเฉพาะอย่างยิ่งการกระจายอำนาจและความไม่สามารถเปลี่ยนแปลงได้ ทำให้ข้อมูลใดๆ ที่เก็บไว้ภายในมีผลถาวรและอยู่นอกเหนือการเข้าถึงของความพยายามกำจัดแบบดั้งเดิม

แพลตฟอร์มบล็อกเชนที่ถูกโจมตี:

  • Ethereum
  • BNB Smart Chain (มีค่าธรรมเนียมการทำธุรกรรมที่ต่ำกว่า)
แผนภาพผังงานโดยละเอียดที่แสดงวิธีการฝัง malware ใน smart contracts เพื่ออธิบายเทคนิค EtherHiding ที่แฮกเกอร์ใช้
แผนภาพผังงานโดยละเอียดที่แสดงวิธีการฝัง malware ใน smart contracts เพื่ออธิบายเทคนิค EtherHiding ที่แฮกเกอร์ใช้

กลยุทธ์การโจมตีทำงานอย่างไร

ลำดับการโจมตีเริ่มต้นด้วยวิศวกรรมสังคม ซึ่งแฮกเกอร์ที่แอบอ้างเป็นผู้สรรหาบุคลากรกำหนดเป้าหมายไปที่นักพัฒนาซอฟต์แวร์ด้วยข้อเสนองานปลอม ข้อเสนอเหล่านี้ต้องการให้ผู้สมัครทำงานที่มอบหมายทางเทคนิคซึ่งมีมัลแวร์ระยะเริ่มต้นแอบแฝงอยู่ เมื่อถูกดำเนินการแล้ว มัลแวร์นี้จะสื่อสารกับสัญญาอัจฉริยะประสงค์ร้ายบนบล็อกเชนสาธารณะเพื่อเรียกข้อมูลขั้นทุติยภูมิ กระบวนการทั้งหมดใช้ประโยชน์จากฟังก์ชันการเรียกอ่านเพียงอย่างเดียวของบล็อกเชน ซึ่งไม่สร้างธุรกรรมที่มองเห็นได้ในบันทึก ทำให้แฮกเกอร์สามารถดึงโค้ดประสงค์ร้ายได้โดยไม่ทิ้งร่องรอยที่ชัดเจนให้นักวิเคราะห์ความปลอดภัยติดตาม

ความเชื่อมโยงกับเกาหลีเหนือและชุดเครื่องมือมัลแวร์

Google ให้เครดิตกิจกรรมนี้หลักๆ กับกลุ่มที่ติดตามว่า UNC5342 ซึ่งมีความเกี่ยวข้องกับการดำเนินการทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐของเกาหลีเหนือ ชุดเครื่องมือของกลุ่มนี้รวมถึงตัวดาวน์โหลดชื่อ JadeSnow ที่ดึงแบ็กดอร์ที่ซับซ้อนชื่อ InvisibleFerret โดยตรงจากสัญญาอัจฉริยะบนบล็อกเชน ความสม่ำเสมอของรูปแบบเหล่านี้ชี้ให้เห็นว่าการส่งมัลแวร์บนบล็อกเชนกำลังกลายเป็นเครื่องมือที่ได้รับความนิยมในหมู่ผู้คุกคามขั้นสูง โดยกลุ่มจากเกาหลีเหนือได้ขโมยสินทรัพย์ดิจิทัลมูลค่าเกิน 2 พันล้านดอลลาร์สหรัฐ ตั้งแต่ต้นปี 2025 ตามข้อมูลจากบริษัทวิเคราะห์บล็อกเชน Elliptic

กลุ่มภัยคุกคามและเครื่องมือสำคัญ:

  • UNC5342: กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือที่ใช้ EtherHiding
  • JadeSnow: ตัวดาวน์โหลด JavaScript ที่ดึงข้อมูล payload จาก blockchain
  • InvisibleFerret: แบ็คดอร์ที่มีฟีเจอร์ครบครันซึ่งช่วยให้สามารถสอดแนมและขโมยข้อมูลได้
  • UNC5142: กลุ่มที่มีแรงจูงใจทางการเงินซึ่งนำเทคนิค EtherHiding มาใช้เช่นกัน

ลักษณะที่คุ้มค่าของการโจมตีผ่านบล็อกเชน

หนึ่งในแง่มุมที่น่าตกใจที่สุดของวิธีการโจมตีนี้คือความประหยัด การสร้างหรือเปลี่ยนแปลงสัญญาอัจฉริยะประสงค์ร้ายโดยทั่วไปมีค่าใช้จ่ายน้อยกว่า 2 ดอลลาร์สหรัฐ ต่อธุรกรรม ทำให้ถูกกว่าการบำรุงรักษาบริการโฮสติ้งใต้ดินแบบดั้งเดิมอย่างมีนัยสำคัญ สิ่งกีดขวางต่ำนี้ ร่วมกับคุณสมบัติการไม่เปิดเผยตัวตนของเทคโนโลยีบล็อกเชนที่ปกปิดตัวตนของผู้โจมตี สร้างสภาพแวดล้อมที่เหมาะสำหรับการดำเนินการทางไซเบอร์อย่างต่อเนื่อง ลักษณะการกระจายตัวของแพลตฟอร์มเหล่านี้ยังขจัดจุดควบคุมหรือจุดล้มเหลวใดจุดหนึ่งที่ผู้ป้องกันสามารถกำหนดเป้าหมายได้

ต้นทุนการโจมตี:

  • การสร้าง/แก้ไขสมาร์ทคอนแทรกต์ที่เป็นอันตราย: น้อยกว่า 2 ดอลลาร์สหรัฐต่อธุรกรรม
  • บริการโฮสติ้งใต้ดินแบบดั้งเดิม: มีราคาแพงกว่ามาก

ความท้าทายด้านการป้องกันและมาตรการตอบโต้ที่เป็นไปได้

สำหรับทีมความปลอดภัยทางไซเบอร์ EtherHiding นำเสนอความท้าทายด้านการป้องกันอย่างมาก เนื่องจากโค้ดประสงค์ร้ายถูกฝังอยู่ในบล็อกเชนเอง จึงไม่สามารถลบหรือแก้ไขได้ ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่ามาตรการตอบโต้ที่อาจเป็นไปได้รวมถึงการบล็อกการเรียก JSON-RPC เฉพาะที่ดึงข้อมูลสัญญาอัจฉริยะ บังคับใช้นโยบายส่วนขยายเบราว์เซอร์ที่เข้มงวด และดำเนินกระบวนการตรวจสอบความถูกต้องของการอัปเดตที่แข็งแรงเพื่อป้องกันไม่ให้การแจ้งเตือนความปลอดภัยปลอมได้รับความนิยม อย่างไรก็ตาม มาตรการเหล่านี้แสดงถึงการควบคุมมากกว่าการกำจัดภัยคุกคาม ซึ่งเน้นย้ำเกมแมวและหนูที่กำลังดำเนินอยู่ระหว่างผู้โจมตีและผู้ป้องกันในภูมิทัศน์ความปลอดภัยทางไซเบอร์

ข่าวที่เกี่ยวข้อง