TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Google Threat Analysis Group (TAG) ได้ออกมาเผยถึงแนวทางการโจมตีรูปแบบใหม่ที่คาดว่าจะมีเบื้องหลังเกี่ยวพันกับเกาหลีเหนือ โดยการโจมตีนี้ได้อาศัยการปลอมตัวเองเป็น Offensive Security Firm ที่ดูน่าเชื่อถือ เพื่อหลอกให้ Security Researcher มาทำงานร่วมกัน และโจมตี Security Researcher ร่วมกับเหยื่ออื่นๆ ไปด้วยกัน
ที่ผ่านมา การโจมตีเหล่านี้จะเริ่มขึ้นโดยที่ผู้โจมตีจะทำการสร้าง Profile ที่น่าเชื่อถือขึ้นมาบนทั้ง Twitter, Keybase และ LinkedIn และทำการเขียน Blog เกี่ยวกับช่องโหว่หรือภัยคุกคามต่างๆ ที่ระบุว่าตนเองเป็นผู้ค้นพบ เพื่อทำการกระจายข่าวสารไปยังเหล่าชุมชนของผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลก สร้างความน่าเชื่อถือให้กับตนเองมากยิ่งขึ้น
จากนั้นผู้โจมตีก็จะเริ่มติดต่อไปยังผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยรายต่างๆ เพื่อสร้างความร่วมมือในงานวิจัยด้าน Cybersecurity ร่วมกัน โดยหากเหยื่อตอบตกลงก็จะทำการส่งไฟล์ Visual Studio ที่มี Backdoor ฝังอยู่เอาไว้ หรือหลอกให้นักวิจัยเหล่านั้นเข้าไปยังหน้าเว็บที่ฝังโค้ดเพื่อเจาะช่องโหว่บน Browser เอาไว้
อย่างไรก็ดี ในสัปดาห์ที่ผ่านมา Google TAG ได้อัปเดตการโจมตีลักษณะนี้ว่าเริ่มมีการเปลี่ยนแปลงไปเป็นการสร้างบริษัท Offensive Security ปลอมขึ้นมาแทน โดยมีทั้ง Website และ Social Media Profile ที่ดูน่าเชื่อถือ โดย Google TAG ได้พบบริษัท SecuriElite นี้เปิดเว็บไซต์เมื่อกลางเดือนมีนาคมที่ผ่านมา พร้อมกับมีการสร้าง Social Media Profile อื่นๆ ของบุคคลที่ไม่มีตัวตนอยู่จริง (เช่น HR Director ของบริษัท Trend Macro ที่จงใจตั้งชื่อให้สับสนกับ Trend Micro) เสริมความน่าเชื่อถืออีกมากมาย เพื่อใช้เว็บไซต์หลักของบริษัทปลอมนี้เป็นฐานในการโจมตีต่อเนื่องในอนาคต
Google ระบุว่าผู้โจมตีรายนี้น่าจะได้รับการสนับสนุนจากภาครัฐ และเกี่ยวพันกับเหตุการณ์การโจมตีโดยใช้ช่องโหว่ Zero-day บน Internet Explorer เมื่อเดือนมกราคมที่ผ่านมานี้ โดยถึงแม้ปัจจุบัน Google จะยังไม่พบว่าการเพิ่มเติมการโจมตีใดๆ ลงไปในเว็บ แต่ Google ก็ได้เพิ่มเว็บบริษัทแห่งนี้เอาไว้ในฐานข้อมูลสำหรับ Google Safebrowsing เป็นที่เรียบร้อยแล้วเพื่อเป็นการระมัดระวังตั้งแต่เนิ่นๆ
