ความปลอดภัยไซเบอร์

แคมเปญจ้างแฮกเกอร์มุ่งเป้าโจมตีนักเคลื่อนไหวและนักข่าว

14 เมษายน 2569อ่าน 5 นาที

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

แคมเปญจ้างแฮกเกอร์มุ่งเป้าโจมตีนักเคลื่อนไหวและนักข่าว

แคมเปญฟิชชิงแบบจ้างแฮกเกอร์ระดับโลก เปิดโปงความเสี่ยงของผู้ใช้สมาร์ทโฟนทั่วโลก

การสืบสวนด้านความปลอดภัยทางไซเบอร์ครั้งใหญ่ได้เปิดโปงปฏิบัติการฟิชชิงแบบจ้างแฮกเกอร์ที่กำลังดำเนินการอยู่ โดยมุ่งเป้าโจมตีอุปกรณ์ iOS และ Android ทั่วโลก แคมเปญนี้ถูกระบุว่าเป็นฝีมือของกลุ่ม BITTER APT ซึ่งได้ปรับใช้โดเมนปลอมเกือบ 1,500 โดเมน เพื่อขโมยข้อมูลรับรองตัวตน Apple ID และข้อมูลล็อกอินบริการอื่นๆ จากเป้าหมายที่มีมูลค่าสูง ไม่ว่าจะเป็นเจ้าหน้าที่รัฐ นักข่าว และนักเคลื่อนไหว เมื่อผู้โจมตีได้รับสิทธิ์เข้าถึงแล้ว พวกเขาสามารถเข้าถึงข้อมูลสำรองบน iCloud และการสื่อสารส่วนตัวได้ ทำให้การขโมยรหัสผ่านเพียงครั้งเดียวกลายเป็นปฏิบัติการข่าวกรองเต็มรูปแบบ

ขนาดและเป้าหมายของแคมเปญนี้บ่งชี้ให้เห็นสิ่งสำคัญ นี่ไม่ใช่อาชญากรรมทางไซเบอร์ที่เกิดขึ้นโดยบังเอิญ แต่เป็นปฏิบัติการที่มีการจัดการอย่างเป็นระบบ ต่อเนื่อง และมุ่งเป้าไปยังบุคคลที่การสื่อสารและตัวตนของพวกเขามีคุณค่าในโลกความเป็นจริง

BITTER APT คือใคร และพวกเขาต้องการอะไร

APT ย่อมาจาก Advanced Persistent Threat หรือภัยคุกคามขั้นสูงแบบต่อเนื่อง ซึ่งเป็นประเภทของผู้ก่อภัยคุกคามที่ปฏิบัติการด้วยเป้าหมายเฉพาะเจาะจง มีทรัพยากรมากมาย และมีความอดทนในระยะยาว BITTER APT ถูกติดตามโดยนักวิจัยด้านความปลอดภัยมาหลายปีและโดยทั่วไปมีความเชื่อมโยงกับปฏิบัติการที่มีแรงจูงใจด้านการจารกรรมในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ แม้ว่าแคมเปญอย่างนี้จะแสดงให้เห็นถึงการขยายขอบเขตการปฏิบัติการไปในระดับนานาชาติที่กว้างขึ้น

รูปแบบการจ้างแฮกเกอร์ยิ่งเพิ่มความน่ากังวลอีกระดับหนึ่ง แทนที่จะปฏิบัติการในนามของรัฐบาลหรือองค์กรใดองค์กรหนึ่งเท่านั้น กลุ่มรับจ้างแฮกเกอร์จะขายความสามารถของตนให้กับลูกค้าที่ต้องการรวบรวมข่าวกรองเกี่ยวกับบุคคลเฉพาะเจาะจง นักข่าวที่สืบสวนเรื่องราวที่อ่อนไหว นักเคลื่อนไหวที่ท้าทายผู้มีอำนาจ และเจ้าหน้าที่ที่ถือครองข้อมูลรัฐบาลที่เป็นความลับ คือกลุ่มเป้าหมายที่ลูกค้าเหล่านี้จ่ายเงินเพื่อสอดแนมโดยเฉพาะ

การใช้โดเมนปลอมเกือบ 1,500 โดเมนมีนัยสำคัญอย่างยิ่ง การสร้างและดูแลโครงสร้างพื้นฐานที่หลอกลวงในปริมาณดังกล่าวต้องใช้การลงทุนอย่างจริงจัง ซึ่งสะท้อนให้เห็นว่าเป้าหมายเหล่านี้มีคุณค่าเพียงใดสำหรับผู้ที่ว่าจ้างปฏิบัติการนี้

วิธีที่การโจมตีฟิชชิงทำงาน

ฟิชชิงในระดับความซับซ้อนนี้ไม่ได้ดูเหมือนอีเมลหลอกลวงที่เขียนผิดไวยากรณ์ซึ่งคนส่วนใหญ่ได้เรียนรู้ที่จะสังเกตออก ปฏิบัติการของ BITTER APT เกี่ยวข้องกับการสร้างเว็บไซต์ปลอมที่ออกแบบอย่างประณีตเพื่อเลียนแบบหน้าเข้าสู่ระบบ Apple ID และพอร์ทัลบริการอื่นๆ ที่ถูกต้อง เป้าหมายจะได้รับสิ่งที่ดูเหมือนการแจ้งเตือนความปลอดภัยตามปกติหรือการแจ้งเตือนบัญชี คลิกไปยังเว็บไซต์จำลองที่น่าเชื่อถือ และกรอกข้อมูลรับรองตัวตนโดยไม่รู้ตัวว่าได้ส่งมอบข้อมูลเหล่านั้นให้กับผู้โจมตีโดยตรง

สำหรับ Apple ID โดยเฉพาะ ผลที่ตามมานั้นไปไกลกว่าแค่การสูญเสียการเข้าถึงบัญชี App Store ข้อมูลรับรองตัวตน Apple ID จะปลดล็อกข้อมูลสำรองบน iCloud ที่อาจมีข้อความ รูปภาพ รายชื่อผู้ติดต่อ ประวัติตำแหน่ง และข้อมูลแอปสะสมมาหลายปี ผู้โจมตีที่มีข้อมูลรับรองเหล่านั้นไม่จำเป็นต้องเจาะเข้าอุปกรณ์โดยตรง แค่เพียงล็อกอินและดาวน์โหลดทุกอย่างที่ถูกสำรองข้อมูลอัตโนมัติไว้ก็เพียงพอแล้ว

ผู้ใช้ Android ก็เผชิญความเสี่ยงที่คล้ายกันผ่านการขโมยข้อมูลรับรองที่มุ่งเป้าไปยังบัญชี Google และบริการอื่นๆ ที่รวบรวมข้อมูลส่วนบุคคลจากอุปกรณ์และแอปพลิเคชันต่างๆ

สิ่งนี้หมายความว่าอะไรสำหรับคุณ

ผู้อ่านส่วนใหญ่ไม่ได้เป็นเจ้าหน้าที่รัฐหรือนักข่าวสืบสวน แต่นั่นไม่ได้หมายความว่าเรื่องนี้ไม่เกี่ยวข้องกับคุณ มีบางสิ่งที่ควรนำมาคิดพิจารณาจากการสืบสวนครั้งนี้

ประการแรก โครงสร้างพื้นฐานฟิชชิงที่สร้างขึ้นสำหรับเป้าหมายที่มีมูลค่าสูงสามารถดักจับผู้ใช้ทั่วไปได้เช่นกัน โดเมนปลอมที่ออกแบบมาเพื่อเลียนแบบบริการของ Apple หรือ Google ไม่ได้ตรวจสอบว่าใครกำลังเข้าชม หากคุณบังเอิญพบโดเมนเหล่านั้น ข้อมูลรับรองของคุณก็มีความเสี่ยงเท่ากับของคนอื่นๆ

ประการที่สอง การที่ iCloud และข้อมูลสำรองบนคลาวด์ถูกระบุว่าเป็นพื้นผิวการโจมตีหลัก เป็นการเตือนให้ตระหนักว่าความปลอดภัยของบัญชีคือความปลอดภัยของอุปกรณ์ การปกป้องโทรศัพท์ด้วยรหัสผ่านที่แข็งแกร่งแทบไม่มีประโยชน์ หากผู้โจมตีสามารถล็อกอินเข้าบัญชีคลาวด์ของคุณผ่านเบราว์เซอร์และเข้าถึงทุกอย่างที่จัดเก็บไว้ได้

ประการที่สาม บุคคลที่มีความเสี่ยงสูงสุดจากแคมเปญเช่นนี้ ซึ่งรวมถึงนักข่าว นักวิจัย ทนายความ บุคลากรทางการแพทย์ และนักเคลื่อนไหว ควรปฏิบัติต่อความปลอดภัยดิจิทัลของตนด้วยความจริงจังเช่นเดียวกับที่พวกเขาใส่ใจต่อความปลอดภัยทางกายภาพในสภาพแวดล้อมที่อ่อนไหว

ขั้นตอนที่ควรดำเนินการในทันที:

เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยสำหรับ Apple ID บัญชี Google และบริการอื่นๆ ที่จัดเก็บข้อมูลสำคัญ ขั้นตอนเดียวนี้จะช่วยเพิ่มต้นทุนของการโจมตีที่อาศัยข้อมูลรับรองได้อย่างมีนัยสำคัญ
ใช้ตัวจัดการรหัสผ่านเพื่อให้มั่นใจว่าทุกบัญชีมีรหัสผ่านที่ไม่ซ้ำกันและแข็งแกร่ง การใช้รหัสผ่านซ้ำในหลายบริการจะขยายความเสียหายจากการละเมิดเพียงครั้งเดียวอย่างมาก
ระมัดระวังข้อความที่ไม่ได้ร้องขอซึ่งขอให้คุณยืนยันข้อมูลรับรองบัญชี แม้ว่าจะดูเหมือนว่ามาจาก Apple, Google หรือบริการที่เชื่อถือได้อื่นๆ ควรนำทางตรงไปยังเว็บไซต์อย่างเป็นทางการแทนที่จะคลิกลิงก์ในอีเมลหรือข้อความ
ตรวจสอบว่าข้อมูลใดบ้างที่ถูกสำรองไปยังบัญชีคลาวด์ของคุณ และพิจารณาว่าข้อมูลทั้งหมดนั้นจำเป็นต้องอยู่ที่นั่นหรือไม่
อัปเดตระบบปฏิบัติการมือถือของคุณอยู่เสมอ แพตช์ความปลอดภัยจะปิดช่องโหว่ที่แคมเปญอย่างนี้อาจพยายามใช้ประโยชน์

แคมเปญของ BITTER APT เป็นภาพสะท้อนที่ชัดเจนว่าอุปกรณ์มือถือได้กลายเป็นเป้าหมายหลักสำหรับผู้ก่อภัยคุกคามที่ซับซ้อน ไม่ใช่แค่เป้าหมายรอง เทคนิคฟิชชิงที่ถูกใช้ถูกออกแบบมาเพื่อหลบเลี่ยงการตระหนักรู้ ไม่ใช่กระตุ้นมัน การอยู่อย่างปลอดภัยต้องอาศัยการสร้างนิสัยที่ได้ผลแม้ในขณะที่การโจมตีดูน่าเชื่อถือ เพราะการโจมตีที่ออกแบบมาดีที่สุดมีเจตนาให้เป็นเช่นนั้น

การตรวจสอบการตั้งค่าความปลอดภัยบัญชีของคุณในวันนี้ใช้เวลาไม่ถึงสิบห้านาที และอาจสร้างความแตกต่างที่มีความหมายได้หากข้อมูลรับรองของคุณถูกมุ่งเป้าโจมตี

// คำถามที่พบบ่อย

BITTER APT คือใคร?

BITTER APT คือกลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (Advanced Persistent Threat) ที่ถูกติดตามโดยนักวิจัยด้านความปลอดภัยมาหลายปี และโดยทั่วไปมีความเชื่อมโยงกับปฏิบัติการที่มีแรงจูงใจด้านการจารกรรมในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ พวกเขาปฏิบัติการด้วยเป้าหมายเฉพาะเจาะจง มีทรัพยากรมากมาย และมีความอดทนในระยะยาว

ใครคือเป้าหมายหลักของแคมเปญจ้างแฮกเกอร์นี้?

แคมเปญนี้มุ่งเป้าโจมตีบุคคลที่มีมูลค่าสูงเป็นหลัก ได้แก่ เจ้าหน้าที่รัฐ นักข่าว และนักเคลื่อนไหว ซึ่งเป็นบุคคลที่การสื่อสารและตัวตนของพวกเขามีคุณค่าในโลกความเป็นจริงสำหรับลูกค้าที่ว่าจ้างปฏิบัติการเหล่านี้

มีการปรับใช้โดเมนปลอมกี่โดเมนในแคมเปญนี้?

แคมเปญนี้ได้ปรับใช้โดเมนปลอมเกือบ 1,500 โดเมน เพื่อขโมยข้อมูลรับรองตัวตน Apple ID และข้อมูลล็อกอินบริการอื่นๆ การสร้างและดูแลโครงสร้างพื้นฐานในปริมาณดังกล่าวต้องใช้การลงทุนอย่างจริงจัง

ผู้โจมตีสามารถเข้าถึงอะไรได้บ้างเมื่อขโมยรหัสผ่าน Apple ID ได้สำเร็จ?

ข้อมูลรับรองตัวตน Apple ID จะปลดล็อกข้อมูลสำรองบน iCloud ที่อาจมีข้อความ รูปภาพ รายชื่อผู้ติดต่อ ประวัติตำแหน่ง และข้อมูลแอปสะสมมาหลายปี ผู้โจมตีที่มีข้อมูลรับรองเหล่านั้นไม่จำเป็นต้องเจาะเข้าอุปกรณ์โดยตรง แค่เพียงล็อกอินและดาวน์โหลดทุกอย่างได้เลย

การโจมตีฟิชชิงหลอกเหยื่อได้อย่างไร?

ผู้โจมตีส่งสิ่งที่ดูเหมือนการแจ้งเตือนความปลอดภัยตามปกติหรือการแจ้งเตือนบัญชี โดยนำเป้าหมายไปยังเว็บไซต์จำลองที่น่าเชื่อถือของหน้าเข้าสู่ระบบ Apple ID หรือพอร์ทัลบริการอื่นๆ ที่ถูกต้อง เหยื่อจึงกรอกข้อมูลรับรองตัวตนโดยไม่รู้ตัวว่าได้ส่งมอบข้อมูลเหล่านั้นให้กับผู้โจมตีโดยตรง

แคมเปญฟิชชิงแบบจ้างแฮกเกอร์ระดับโลก เปิดโปงความเสี่ยงของผู้ใช้สมาร์ทโฟนทั่วโลก

BITTER APT คือใคร และพวกเขาต้องการอะไร

วิธีที่การโจมตีฟิชชิงทำงาน

สิ่งนี้หมายความว่าอะไรสำหรับคุณ

// คำถามที่พบบ่อย

// ที่เกี่ยวข้อง