มีการเปิดเผยว่าแฮกเกอร์กลุ่มที่มีความสัมพันธ์กับเกาหลีเหนือซึ่งเกี่ยวโยงกับแฮกเกอร์ APT37 ได้ใช้ฟีเจอร์ “Find Hub” ของ Google (ซึ่งเดิมคือ “Find My Device” ของ Android) เพื่อระบุพิกัด GPS ของเป้าหมาย และสั่งรีเซ็ตอุปกรณ์ Android จากระยะไกลเพื่อล้างข้อมูลทั้งหมด ซึ่งถือว่าเป็นการยกระดับจากแค่การขโมยข้อมูลสู่การทำลาย ข้อมูลอีกด้วย
ใครคือผู้โจมตี?
แฮกเกอร์กลุ่มดังกล่าวถูกระบุว่าเป็น KONNI (activity cluster) ซึ่งมีความเชื่อมโยงกับ APT37 และกลุ่มอื่นๆ เช่น Kimsuky โดยเฉพาะเจาะจงกับเป้าหมายในเกาหลีใต้และกลุ่มผู้ลี้ภัยจากเกาหลีเหนือ โดยพฤติกรรมของโจมตีนั้น จะส่ง malware ผ่านอีเมลหรือไฟล์แนบที่ปลอมตัวเป็นน่าเชื่อถือ จากนั้นเข้าควบคุมอุปกรณ์ Windows เพื่อขโมยบัญชี Google แล้วใช้บัญชีนั้นเข้าสู่ Find Hub เพื่อสั่งรีเซ็ตโทรศัพท์ Android
วิธีการโจมตี (Attack chain)
เริ่มต้นด้วยอีเมลฟิชชิงหรือข้อความบนแอปแชทเช่น KakaoTalk โดยแอบอ้างเป็นหน่วยงานราชการหรือองค์กรที่ผู้ใช้ในเกาหลีใต้ไว้วางใจ เช่น สรรพากร ตำรวจ ฯลฯ
แนบไฟล์ MSI หรือ ZIP ที่เมื่อเปิดแล้วจะรันสคริปต์ติดตั้งมัลแวร์ เช่น “install.bat” หรือไฟล์ AutoIt ที่ทำให้ระบบถูกควบคุมจากระยะไกล
หลังติดตั้งมัลแวร์แล้ว ผู้โจมตีจะขโมยข้อมูลบัญชี Google/Naver ของเหยื่อ จากนั้นใช้บัญชีนั้นล็อกอินไปยัง Find Hub เพื่อดูอุปกรณ์ Android ที่เชื่อมโยงบัญชี และเช็กพิกัดว่าผู้ใช้ไม่อยู่ใกล้เครื่อง ก่อนสั่ง factory reset) หลายครั้ง เพื่อทำลายข้อมูลและยืดเวลาการกู้คืน
เมื่ออุปกรณ์ถูกรีเซ็ตแล้ว ผู้โจมตียังใช้เซสชันของ KakaoTalk ที่ยังเปิดอยู่บนคอมพิวเตอร์ที่ถูกควบคุม ส่งมัลแวร์ไปยังผู้ติดต่อของเหยื่อ เพื่อขยายวงจรการโจมตีต่อไป
เป้าหมายหลักคือ การสอดแนมและทำลายข้อมูล มากกว่าการเรียกค่าไถ่ เพราะการรีเซ็ตอุปกรณ์ทำให้ข้อมูลไม่สามารถกู้คืนได้ กลุ่มเป้าหมายเน้นที่ผู้ลี้ภัยจากเกาหลีเหนือ หรือองค์กรที่ทำงานด้านนี้ ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูง
5. จุดที่น่าสังเกต / ความแปลกใหม่
ใช้บริการ Find Hub ถูกต้องตามฟังก์ชันของ Google ไม่ได้เป็นช่องโหว่ใหม่ใน Android หรือ Find Hub เอง แต่ผู้โจมตีใช้บัญชี Google ที่ถูกขโมยมาเพื่อใช้ฟังก์ชันรีเซ็ตจากระยะไกล และมีการตรวจพิกัด GPS ผู้ใช้ผ่านบัญชี Google ก่อนรีเซ็ต เพื่อให้ผู้ใช้ไม่สามารถเข้ามาระงับเหตุการณ์ได้ทันเวลา
ผลกระทบนั้น ทำให้อุปกรณ์ Android ถูกรีเซ็ตเป็นค่าเริ่มต้นและข้อมูลทั้งหมดข้อมูลทั้งหมดบนเครื่องหายหมด การโจมตีแบบนี้แสดงให้เห็นว่าไม่ใช่แค่ข้อมูลที่ถูกขโมย แต่ยังถูกทำลายได้ ซึ่งอาจส่งผลด้านชื่อเสียง ความเชื่อมั่น และการดำเนินงาน
วิธีป้องกันสำหรับผู้ใช้ และ องค์กร
เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน (2-Step Verification หรือ MFA) สำหรับบัญชี Google หรือบัญชีอื่น ๆ ที่มีสิทธิ์ควบคุมอุปกรณ์จากระยะไกล
หมั่นตรวจสอบอุปกรณ์ที่เชื่อมโยงกับบัญชี Google อย่างสม่ำเสมอ และหากพบอุปกรณ์แปลกปลอม ให้ยกเลิกสิทธิ์ทันที
ระมัดระวังไฟล์แนบหรือโปรแกรมที่ได้รับจากผู้ส่งที่ไม่สามารถยืนยันตัวตนได้โดยตรง โดยเฉพาะผ่านแอปแชทหรืออีเมลที่ถูกปลอมแปลง
สำรองข้อมูล (Backup) เป็นประจำ และตรวจสอบว่าเมื่อรีเซ็ตอุปกรณ์แล้วจะสามารถกู้คืนข้อมูลจากต้นทางที่ปลอดภัยได้
เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนว่า ฟีเจอร์ที่มีอยู่ในระบบ (เช่น Find Hub) สามารถถูกแฮกเกอร์ใช้เป็นเครื่องมือโจมตีได้ หากผู้ใช้เสียบัญชี หรือถูกหลอกให้เปิดมัลแวร์ ดังนั้น การรักษาความปลอดภัยบัญชีผู้ใช้ และการสร้างวัฒนธรรมการใช้ไอทีที่ปลอดภัย จึงเป็นสิ่งที่สำคัญมาก
อ้างอิง Bleepingcomputer cover iT24Hrs
อ่านบทความและข่าวอื่นๆเพิ่มเติมได้ที่ it24hrs.com
Edge Light ฟีเจอร์ใหม่ของ MacOS เปลี่ยนหน้าจอ Mac กลายเป็น Ring Light ไฟวงแหวนส่องหน้าได้เลย
อย่าลืมกดติดตามอัพเดตข่าวสาร ทิปเทคนิคดีๆกันนะคะ Please follow us
Youtube it24hrs
Twitter it24hrs
Tiktok it24hrs
facebook it24hrs
