Tech

แฮกเกอร์ชาวจีนปลอมตัวเป็นอิหร่านเพื่อโจมตีอิสราเอล

เมื่อแฮ็กเกอร์บุกเข้าไปในคอมพิวเตอร์ในรัฐบาลและบริษัทเทคโนโลยีของอิสราเอลในปี 2019 และ 2020 ผู้สืบสวนค้นหาเบาะแสเพื่อค้นหาว่าใครเป็นผู้รับผิดชอบ หลักฐานแรกชี้ตรงไปที่อิหร่าน ซึ่งเป็นคู่แข่งทางการเมืองที่ถกเถียงกันมากที่สุดของอิสราเอล แฮ็กเกอร์ใช้เครื่องมือที่เกี่ยวข้องกับชาวอิหร่านตามปกติ เช่น และเขียนเป็นภาษาฟาร์ซี

แต่หลังจากตรวจสอบหลักฐานเพิ่มเติม—และข้อมูลที่รวบรวมจากคดีจารกรรมทางไซเบอร์อื่นๆ ทั่วตะวันออกกลาง— นักวิเคราะห์ตระหนักว่าไม่ใช่ปฏิบัติการของอิหร่าน แต่กลับดำเนินการโดยนักปฏิบัติการชาวจีนที่ปลอมตัวเป็นทีมแฮ็กเกอร์จากเตหะราน

แฮกเกอร์ประสบความสำเร็จในการกำหนดเป้าหมายรัฐบาลอิสราเอล บริษัทเทคโนโลยี และบริษัทโทรคมนาคม และด้วยการใช้ธงปลอม ปรากฏว่า พวกเขาหวังว่าจะทำให้นักวิเคราะห์เข้าใจผิดโดยเชื่อว่าผู้โจมตีมาจากศัตรูระดับภูมิภาคของอิสราเอล

ใหม่ การวิจัย จาก FireEye บริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา ซึ่งทำงานร่วมกับอิสราเอล ทหาร เปิดเผยการหลอกลวงที่ล้มเหลวและอธิบายเทคนิคที่แฮ็กเกอร์ใช้ในการพยายามตำหนิที่อื่น

กลวิธีหลายอย่างของพวกเขาค่อนข้างตรงไปตรงมาเพื่อแนะนำว่าพวกเขาเป็นสายลับอิหร่าน ตามรายงานการวิจัย เช่น การใช้เส้นทางไฟล์ที่มีคำว่า “อิหร่าน” แต่ผู้โจมตียังใช้ความพยายามอย่างเต็มที่ในการปกป้องตัวตนที่แท้จริงของพวกเขาด้วยการลดหลักฐานทางนิติวิทยาศาสตร์ที่พวกเขาทิ้งไว้ในคอมพิวเตอร์ที่ถูกบุกรุก และซ่อนโครงสร้างพื้นฐานที่พวกเขาเคยเจาะเข้าไปในเครื่องของอิสราเอล

แต่อุบายชี้นิ้วไปที่อิหร่านล้มเหลว แฮกเกอร์ที่ FireEye เรียกว่า UNC215 ทำผิดพลาดทางเทคนิคที่สำคัญหลายประการซึ่งทำให้พวกเขาปิดบังและเชื่อมโยงพวกเขากลับไปที่งานก่อนหน้านี้อย่างแน่นหนา ตัวอย่างเช่น พวกเขาใช้ไฟล์ โครงสร้างพื้นฐาน และยุทธวิธีที่คล้ายคลึงกันในการดำเนินงานหลายแห่งในตะวันออกกลาง

“ มีชิ้นส่วนที่จะแยกแยะผู้ปฏิบัติงานหรือผู้สนับสนุนของพวกเขา” John Hultquist รองประธานฝ่ายข่าวกรองภัยคุกคามของ FireEye กล่าว “พวกเขาจะตกเลือดจากการผ่าตัดหลายครั้งโดยไม่คำนึงถึงการหลอกลวง”

นอกเหนือจากการแจกของรางวัลทางเทคนิคหลายรายการ เบาะแสสำคัญอีกประเภทหนึ่งคือประเภทของข้อมูลหรือเหยื่อที่แฮ็กเกอร์กำหนดเป้าหมาย UNC215 โจมตีเป้าหมายประเภทเดียวกันซ้ำแล้วซ้ำอีกในตะวันออกกลางและเอเชีย ซึ่งทั้งหมดเกี่ยวข้องโดยตรงกับผลประโยชน์ทางการเมืองและการเงินของจีน เป้าหมายของกลุ่มทับซ้อนกับกลุ่มแฮ็กเกอร์ชาวจีนกลุ่มอื่นๆ ซึ่งไม่ตรงกับความสนใจของแฮ็กเกอร์ชาวอิหร่านที่รู้จักเสมอไป

“คุณสามารถสร้างการหลอกลวงที่สำคัญได้ แต่ท้ายที่สุด คุณต้องกำหนดเป้าหมายสิ่งที่คุณสนใจ ” Hultquist กล่าว “นั่นจะให้ข้อมูลว่าคุณเป็นใครเพราะความสนใจของคุณอยู่ที่ไหน”

ทางออกเดียวที่ชัดเจนสำหรับปัญหานี้คือการไล่ผู้ตรวจสอบออกจากเส้นทางโดยไล่ตามเป้าหมายที่ไม่สนใจจริงๆ แต่นั่นทำให้เกิดปัญหาของตัวเอง: การเพิ่มปริมาณของกิจกรรมเพิ่มโอกาสในการถูกจับอย่างมาก

ลายนิ้วมือที่ผู้โจมตีทิ้งไว้นั้นเพียงพอที่จะโน้มน้าวให้ผู้สืบสวนชาวอิสราเอลและอเมริกันในท้ายที่สุดเชื่อว่ากลุ่มชาวจีน ไม่ใช่อิหร่าน เป็นผู้รับผิดชอบ กลุ่มแฮ็คกลุ่มเดียวกันเคยใช้กลวิธีหลอกลวงที่คล้ายกันมาก่อน ในความเป็นจริง มันอาจแฮ็ครัฐบาลอิหร่านเองในปี 2019 และเพิ่มชั้นพิเศษในการหลอกลวง

นี่เป็นตัวอย่างแรกของการแฮ็กข้อมูลขนาดใหญ่ของจีนกับอิสราเอล และเกิดขึ้นภายหลัง ชุดการลงทุนของจีนมูลค่าหลายพันล้านดอลลาร์ ในอุตสาหกรรมเทคโนโลยีของอิสราเอล ซึ่งเป็นส่วนหนึ่งของแผนริเริ่มหนึ่งแถบ หนึ่งเส้นทาง ของปักกิ่ง ซึ่งเป็นยุทธศาสตร์ทางเศรษฐกิจเพื่อ

ขยายอิทธิพลของจีนอย่างรวดเร็ว และเข้าถึงได้อย่างชัดเจนทั่วยูเรเซียไปจนถึงมหาสมุทรแอตแลนติก สหรัฐอเมริกาเตือน

กับ การลงทุนโดยอ้างว่าจะเป็นภัยคุกคามด้านความปลอดภัย

การชี้ทางผิดและการแสดงที่มาผิด

การหลอกลวงของ UNC215 ต่ออิสราเอลนั้นไม่ได้ซับซ้อนหรือประสบความสำเร็จเป็นพิเศษนัก แต่มันแสดงให้เห็นว่าการแสดงที่มา—และการแสดงที่มาที่ผิด—มีความสำคัญเพียงใดในการจารกรรมทางไซเบอร์ แคมเปญ ไม่เพียงแต่เป็นแพะรับบาปสำหรับการโจมตีเท่านั้น แต่ยังให้ความคุ้มครองทางการทูตแก่ผู้โจมตีด้วย: เมื่อต้องเผชิญกับหลักฐานการจารกรรม เจ้าหน้าที่จีนมักโต้แย้งว่าการติดตามแฮ็กเกอร์เป็นเรื่องยากหรือเป็นไปไม่ได้ เมื่อได้รับความคิดเห็น โฆษกของสถานเอกอัครราชทูตจีนในกรุงวอชิงตัน ดี.ซี. กล่าวว่าประเทศนี้ “ต่อต้านและต่อต้านการโจมตีทางไซเบอร์ทุกรูปแบบอย่างแน่นหนา”

และความพยายามที่จะส่งผู้ตรวจสอบผิดทำให้เกิดคำถามที่ยิ่งใหญ่กว่า: บ่อยแค่ไหนที่การพยายามตั้งค่าสถานะเท็จหลอกผู้สืบสวนและเหยื่อ? ไม่บ่อยนัก Hultquist.

“สิ่งที่เกี่ยวกับการพยายามหลอกลวงเหล่านี้คือถ้าคุณมองเหตุการณ์ผ่านรูรับแสงแคบ มันจะมีประสิทธิภาพมาก” เขากล่าว แต่แม้ว่าการโจมตีแต่ละครั้งจะผิดพลาดได้สำเร็จ การโจมตีแต่ละครั้งอาจได้รับการจัดรูปแบบที่ผิดพลาดได้สำเร็จ แต่ในการโจมตีหลายครั้ง การรักษาปริศนานั้นยากขึ้นเรื่อยๆ นั่นคือกรณีของแฮ็กเกอร์ชาวจีนที่กำหนดเป้าหมายไปยังอิสราเอลตลอดปี 2019 และ 2020

“มันยากมากที่จะทำให้การหลอกลวงดำเนินต่อไปในหลาย ๆ ปฏิบัติการ”

John Hultquist, FireEye

“ เมื่อคุณเริ่มเชื่อมโยงกับเหตุการณ์อื่นๆ การหลอกลวงจะสูญเสียประสิทธิภาพ” Hultquist อธิบาย “มันยากมากที่จะทำให้การหลอกลวงดำเนินต่อไปในการดำเนินการหลายครั้ง”

ความพยายามที่รู้จักกันดีที่สุดในการระบุแหล่งที่มา ในไซเบอร์สเปซเป็นการโจมตีทางไซเบอร์ของรัสเซียต่อพิธีเปิดการแข่งขันกีฬาโอลิมปิกฤดูหนาวปี 2018 ที่เกาหลีใต้ ขนานนามว่า Olympic Destroyer. ชาวรัสเซียพยายามทิ้งร่องรอยที่ชี้ไปที่แฮ็กเกอร์ชาวเกาหลีเหนือและจีน โดยหลักฐานที่ขัดแย้งดูเหมือนจะออกแบบมาเพื่อป้องกันไม่ให้ผู้สืบสวนหาข้อสรุปที่ชัดเจน

“Olympic Destroyer เป็นตัวอย่างที่น่าทึ่งของธงเท็จและฝันร้ายของการระบุแหล่งที่มา” Costin Raiu ผู้อำนวยการทีมวิจัยและวิเคราะห์ระดับโลกที่ Kaspersky Lab ทวีต ในเวลานั้น.

ในที่สุด นักวิจัยและรัฐบาลได้ตำหนิโทษสำหรับเหตุการณ์นั้นกับรัฐบาลรัสเซียอย่างเด็ดขาด และเมื่อปีที่แล้ว สหรัฐฯ ได้ฟ้อง เจ้าหน้าที่หน่วยข่าวกรองของรัสเซีย 6 นาย ในเหตุโจมตี

แฮ็กเกอร์ชาวเกาหลีเหนือเหล่านั้นที่ตอนแรกสงสัยว่าถูกแฮ็ก Olympic Destroyer นั้นเอง ถูกดร็อป ค่าสถานะเท็จระหว่างการดำเนินการของตนเอง แต่ท้ายที่สุดพวกเขาก็ถูกจับและระบุโดยทั้งนักวิจัยภาคเอกชนและรัฐบาลสหรัฐอเมริกาซึ่ง ถูกฟ้อง แฮ็กเกอร์ชาวเกาหลีเหนือสามคนเมื่อต้นปีนี้

“มีความเข้าใจผิดอยู่เสมอว่าการระบุแหล่งที่มาเป็นไปไม่ได้มากกว่าที่เป็นอยู่” Hultquist กล่าว “เราคิดเสมอว่าการติดธงปลอมจะเข้าสู่การสนทนาและทำลายข้อโต้แย้งทั้งหมดของเราว่าการระบุแหล่งที่มานั้นเป็นไปได้ แต่เรายังไม่ได้อยู่ที่นั่น สิ่งเหล่านี้ยังคงเป็นความพยายามที่ตรวจพบได้ในการขัดขวางการแสดงที่มา เรายังคงจับสิ่งนี้ พวกเขายังไม่ข้ามเส้น”

    ไลฟ์สไตล์

  • เทค
  • โลก

  • อาหาร
  • เกม
    การท่องเที่ยว

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button