การถอดรหัส นักรบไซเบอร์เกาหลีเหนือ

การถอดรหัส นักรบไซเบอร์เกาหลีเหนือ

รัฐบาลของประเทศต่าง ๆ กำลังต่อสู้กับภัยคุกคามด้วยการตรวจสอบปฏิบัติการไซเบอร์ของเกาหลีเหนืออย่างละเอียด และแบ่งปันข้อมูลเกี่ยวกับการโจมตี

เจ้าหน้าที่ ฟอรัม

วั นจันทร์ที่ 24 พฤศจิกายน พ.ศ. 2557 พนักงานที่สำนักงานใหญ่ของบริษัทโซนี่ พิคเจอร์ส เอนเตอร์เทนเมนต์ เห็นรูปหัวกะโหลกกระพริบบนหน้าจอคอมพิวเตอร์ของตนพร้อมข้อความว่า “นี่เป็นแค่การเริ่มต้น เราได้ข้อมูลภายในของคุณหมดแล้ว” จากนั้นก็มีคำเตือนให้เชื่อฟังคำสั่ง หรือจะเสี่ยงให้ “ความลับสุดยอด” ถูกเปิดเผย หนึ่งสัปดาห์หลังจากนั้น ระหว่างการประชาสัมพันธ์ก่อนออกฉายภาพยนตร์ของโซนี่เรื่อง “ดิ อินเทอร์วิว” ซึ่งเป็นหนังล้อเลียนเกี่ยวกับการลอบสังหารประธานาธิบดีคิม จองอึน ผู้นำเกาหลีเหนือ แฮกเกอร์ได้ปล่อยข้อมูลเงินเดือนของผู้บริหารบริษัทและข้อมูลอื่น ๆ ที่เป็นกรรมสิทธิ์ของบริษัท

วันพุธที่ 20 มีนาคม พ.ศ. 2556 มัลแวร์ที่มีชื่อว่า “ดาร์กโซล” ได้แพร่ระบาดไปทั่วเกาหลีใต้ ส่งผลให้คอมพิวเตอร์ เซิร์ฟเวอร์ถ่ายทอดข่าวและสถาบันการเงินเป็นอัมพาต สถานีวิทยุและโทรทัศน์ที่ได้รับผลกระทบเคยถูกเกาหลีเหนือระบุว่าเป็นเป้าหมายมาก่อน ตอนที่นายคิม จองอึน ขู่จะทำลายทรัพย์สินของรัฐบาลเกาหลีใต้

ในเดือนมีนาคม พ.ศ. 2554 แฮกเกอร์ได้โจมตีเว็บไซต์ของรัฐบาลเกาหลีใต้และเครือข่ายของกองทัพสหรัฐฯ ในเกาหลีจนระบบล่ม การโจมตีระบบเครือข่ายแบบ DDoS ครั้งนี้ได้รับการขนานนามจากบริษัทรักษาความปลอดภัยคอมพิวเตอร์แมคอาฟีว่า “ปรากฏการณ์ฝนตกสิบวัน” การโจมตีกินเวลาทั้งสิ้น 10 วัน ซึ่งหลังจากนั้นก็ยุติลง ทำลายตัวเองและระบบที่มันแพร่เชื้อไว้

นายคิม จองอึน ผู้นำเกาหลีเหนือ รอยเตอร์

นายคิม จองอึน ผู้นำเกาหลีเหนือ รอยเตอร์

เกาหลีเหนือยืนกรานว่าตนไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว แต่นักนิติวิทยาศาสตร์ด้านคอมพิวเตอร์กลับไม่คิดเช่นนั้น

นายเจมส์ บี. โคมีย์ ผู้อำนวยการสำนักงานสอบสวนกลางของสหรัฐฯ กล่าวว่าในกรณีของบริษัทโซนี แฮกเกอร์เปิดเผยตัวให้เรารู้โดยไม่ได้ตั้งใจตอนที่พวกเขาเกิด “สะเพร่า”

“ไม่ว่าจะเป็นเพราะลืมหรือมีปัญหาทางเทคนิคก็ตาม แต่ก็มีหลายครั้งที่แฮกเกอร์ทำการเชื่อมต่อโดยตรงซึ่งทำให้เราสามารถมองเห็นพวกเขา และเราก็เห็นว่าที่อยู่ไอพี (อินเทอร์เน็ตโปรโตคอล) ที่ใช้โพสต์ข้อความและส่งอีเมลมาจากไอพีที่ใช้เฉพาะชาวเกาหลีเหนือเท่านั้น” นายโคมีย์พูดถึงอีเมลขู่ที่แฮกเกอร์ส่งให้พนักงานโซนี่ ตามรายงานเมื่อเดือนมกราคม พ.ศ. 2558 ในหนังสือพิมพ์ ไฟแนนเชียล ไทมส์

แม้แฮกเกอร์จะมีจุดอ่อนให้จับได้ในการโจมตีบริษัทโซนี่ แต่ผู้เชี่ยวชาญกล่าวว่าปฏิบัติการไซเบอร์ของเกาหลีเหนือก้าวหน้าไปมาก ถึงเราจะยังไม่ทราบรายละเอียดว่าอยู่ในระดับใดแล้ว

“เป็นเรื่องยากที่จะชี้ชัดลงไปว่าขีดความสามารถทางเทคนิคของเกาหลีเหนือก้าวหน้าไปถึงไหนแล้ว เพราะแทบจะหาบทวิเคราะห์ในแหล่งข้อมูลเปิดไม่ได้เลย” ตามที่ระบุไว้ในรายงานการวิจัยเรื่อง “เรารู้อะไรบ้างเกี่ยวกับการโจมตีทางไซเบอร์ของเกาหลีเหนือในอดีตและขีดความสามารถของเกาหลีเหนือ” โดยที่ปรึกษาอิสระสามคน ได้แก่ นางเจนนี จุน นายสก็อตต์ ลาฟอย และนายอีธาน ซอห์น “อันที่จริงแล้ว เกาหลีเหนือได้พัฒนาไปเกินกว่าการโจมตีระบบเครือข่ายแบบ DDoS ระดับพื้นฐานอย่างที่ตนมักจะทำในช่วงทศวรรษที่ผ่านมา ไปสู่การปฏิบัติการที่มีเป้าหมายแน่นอน ซับซ้อนและเป็นระบบ และประกอบด้วยหลายขั้นตอนในการหาประโยชน์จากระบบหรือเครือข่ายเป้าหมาย เกาหลีเหนือมีขีดความสามารถในการโจมตีแบบวิศวกรรมสังคม การคุกคามขั้นสูงอย่างต่อเนื่อง และการใช้มัลแวร์ที่ซับซ้อนน้อยกว่าแต่มี

ประสิทธิภาพมากพอ” รายงานประจำเดือนธันวาคม พ.ศ. 2557 ซึ่งตีพิมพ์โดยศูนย์ยุทธศาสตร์และนานาชาติศึกษา ซึ่งตั้งอยู่ในกรุงวอชิงตัน ดี.ซี. ระบุ “เมื่อพิจารณาจากอัตราความก้าวหน้าของขีดความสามารถด้านปฏิบัติการของเกาหลีเหนือที่ถือว่าเร็วมาก ในอนาคตเราอาจจะเห็นเกาหลีเหนือพยายามทำการโจมตีที่สร้างความเสียหายมากกว่าและถาวรกว่า เช่น การโจมตีจุดอ่อนของห่วงโซ่อุปทาน หรือการทำลายเครือข่ายการควบคุมดูแลและการได้มาซึ่งข้อมูล”

ผู้เชี่ยวชาญอย่างน้อยหนึ่งรายเชื่อว่าปฏิบัติการไซเบอร์ของเกาหลีเหนืออาจติดหนึ่งใน 10 ของโลก แต่นั่นไม่ได้หมายความว่าเกาหลีเหนือมีสิ่งที่จำเป็นต้องใช้ในการโจมตีด้วยไวรัสคอมพิวเตอร์ที่ซับซ้อน ตามคำกล่าวของนายเจมส์ ลูอิส ผู้อำนวยการและนักวิจัยอาวุโสของโครงการเทคโนโลยีเชิงยุทธศาสตร์แห่งศูนย์ยุทธศาสตร์และนานาชาติศึกษา “เกาหลีเหนือจะไม่สามารถทำการโจมตีทางไซเบอร์ที่ทำให้เกิดความเสียหายร้ายแรงที่สุด” นายลูอิสกล่าวกับผู้สื่อข่าวของหนังสือพิมพ์ เดอะคริสเตียน ไซเเอนซ์ มอนิเตอร์ ในเดือนกุมภาพันธ์ พ.ศ. 2558

แต่รัฐบาลของประเทศต่าง ๆ ก็ไม่ควรประเมินความสามารถของเกาหลีเหนือต่ำเกินไป นายลูอิสยังตระหนักด้วยว่าเกาหลีเหนือได้สร้างเครือข่ายการปฏิบัติการตลาดมืดที่ได้รับการสนับสนุนจากรัฐในที่ต่าง ๆ เช่น ญี่ปุ่น สิงคโปร์ และมอลตา

“นี่ก็เป็นความก้าวหน้าอีกขั้นหนึ่งของเกาหลีเหนือในโลกเทคโนโลยี” นายลูอิสกล่าวในระหว่างการให้สัมภาษณ์กับหนังสือพิมพ์ เดอะคริสเตียน ไซแอนซ์ มอนิเตอร์ “พวกเขาสามารถใช้ญี่ปุ่น จีนและตลาดมืดนี้ด้วย”

ผู้เชี่ยวชาญกล่าวว่ากองทัพไซเบอร์ที่เกาหลีเหนือระดมมา บวกกับขีดความสามารถที่เติบโตขึ้นเรื่อย ๆ อาจทำให้หลายคนประหลาดใจ โดยเฉพาะอย่างยิ่งเมื่อชาวเกาหลีเหนือส่วนใหญ่แทบไม่เคยเห็นอินเทอร์เน็ตมาก่อน แหล่งข้อมูลหลายแห่งระบุว่าแฮกเกอร์มืออาชีพในเกาหลีเหนือน่าจะมีจำนวนประมาณ 1,000 ถึง 3,000 คน

“เกาหลีเหนือเป็นผู้แสดงที่เริ่มมีบทบาทสำคัญในโลกไซเบอร์ เพราะทั้งกองทัพและหน่วยงานลับของประเทศมีขีดความสามารถในการปฏิบัติการทางไซเบอร์” นางจุน นายลาฟอยและนายซอห์น เขียนไว้ในบทสรุปผู้บริหารเมื่อเดือนกันยายน พ.ศ. 2558 หัวข้อ “การปฏิบัติการไซเบอร์ของเกาหลีเหนือ: กลยุทธ์และการตอบสนอง” ที่ตีพิมพ์โดยศูนย์ยุทธศาสตร์และนานาชาติศึกษา

นักวิจัยทั้งสามพยายามจะสร้างเอกสารอ้างอิงสาธารณะที่มีเนื้อหาครอบคลุมทุกด้าน เนื่องจากบทวิเคราะห์ของนักวิจัยกลุ่มนี้มีข้อมูลที่ไม่เป็นความลับเกี่ยวกับปฏิบัติการไซเบอร์ของเกาหลีเหนืออยู่เพียงเล็กน้อยเท่านั้น นอกจากนี้ กลุ่มนักวิจัยดังกล่าวยังต้องการแก้ไขความเข้าใจของสาธารณชนเกี่ยวกับการโจมตีที่เชื่อมโยงกับเกาหลีเหนือ

“ลองคิดว่าการโจมตีทางไซเบอร์ของเกาหลีเหนือไม่ได้เป็นแค่เหตุการณ์ซึ่งไม่มีอะไรเกี่ยวข้องกันเท่านั้น แต่เป็นกลุ่มทางเลือกหนึ่งที่รัฐบาลเกาหลีเหนือกำหนดให้เป็นส่วนหนึ่งในยุทธศาสตร์ของประเทศ” นางจุนกล่าวในระหว่างการอภิปรายผลการวิจัยของคณะที่ศูนย์ยุทธศาสตร์และนานาชาติศึกษา “เมื่อเราพิจารณาวิธีการจัดระเบียบการปฏิบัติการไซเบอร์ ก็ดูเหมือนว่าเกาหลีเหนือคงจะยังไม่เลิกใช้วิธีนี้ภายในอนาคตอันใกล้”

แผนที่ที่จัดไว้ที่ศูนย์ตอบโต้การก่อการร้ายทางไซเบอร์ในเกาหลีใต้ แสดงให้เห็นว่าการทำสงครามไซเบอร์ในคาบสมุทรเกาหลีจะดำเนินไปอย่างไร ดิแอสโซซิเอทเต็ด เพรส

แผนที่ที่จัดไว้ที่ศูนย์ตอบโต้การก่อการร้ายทางไซเบอร์ในเกาหลีใต้ แสดงให้เห็นว่าการทำสงครามไซเบอร์ในคาบสมุทรเกาหลีจะดำเนินไปอย่างไร
ดิแอสโซซิเอทเต็ด เพรส

รายงานว่าด้วยการปฏิบัติการไซเบอร์ได้กล่าวถึงสำนักข่าวกรองหลัก และกรมเสนาธิการของเกาหลีเหนือ ซึ่งเป็นสองหน่วยงานที่ได้รับมอบหมายให้วางแผนและดำเนินการตามยุทธศาสตร์ไซเบอร์ของเกาหลีเหนือ ต่อไปนี้คือข้อมูลเกี่ยวกับสองหน่วยงานดังกล่าว

สำนักข่าวกรองหลัก: “สำนักข่าวกรองหลักเป็นหน่วยงานหลักทางด้านข่าวกรองและปฏิบัติการลับของรัฐบาลเกาหลีเหนือ และเคยมีเกี่ยวส่วนข้องกับการโจมตีของหน่วยคอมมานโด การแทรกซึม การขัดขวาง และปฏิบัติการลับอื่น ๆ ในยามสงบ รวมทั้งการโจมตีบริษัทโซนี่ พิคเจอร์ส เอนเตอร์เทนเมนต์ เมื่อปี พ.ศ. 2557 สำนักข่าวกรองหลักจะควบคุมขีดความสามารถทางไซเบอร์ที่สำคัญของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี ซึ่งส่วนใหญ่อยู่ภายใต้สำนักงานที่มีชื่อว่า บูโร 121 หรือหน่วยงานที่อาจเข้ามารับช่วงภารกิจต่อซึ่งก็คือสำนักงาน

แนะแนวทางการสงครามไซเบอร์ อาจเป็นไปได้ว่าได้มีการปรับโครงสร้างภายในสำนักข่าวกรองหลักจนเสร็จสิ้นแล้วเมื่อเร็วๆ นี้หรือกำลังดำเนินการอยู่เพื่อจะเลื่อนสถานะของบูโร 121 ให้สูงขึ้นหรือแม้กระทั่งจัดตั้งให้เป็นหน่วยงานกลางสำหรับการปฏิบัติการไซเบอร์ ขีดความ

สามารถทางไซเบอร์ของสำนักข่าวกรองหลักน่าจะมีไว้เพื่อสนับสนุนภารกิจข้างต้นของสำนักงานเองโดยตรง ในยามสงบนั้น สำนักข่าวกรองหลักน่าจะเป็นหน่วยงานที่สำคัญกว่าหรือมีบทบาทมากกว่าเมื่อเทียบกับสองหน่วยงานหลักของสาธารณรัฐประชาธิปไตยประชาชนเกาหลีที่มีขีดความสามารถด้านไซเบอร์”

กรมเสนาธิการ: “กรมเสนาธิการในสังกัดกองทัพประชาชนเกาหลี มีหน้าที่กำกับดูแลปฏิบัติการทางทหารและหน่วยทหาร รวมทั้งขีดความสามารถทางด้านไซเบอร์ในภารกิจทหารตามแบบที่กำลังเติบโตขึ้นเรื่อย ๆ ของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี กรมเสนาธิการได้รับมอบหมายให้ดูแลการวางแผนปฏิบัติการและตรวจสอบความพร้อมของกองทัพประชาชนเกาหลีหากเกิดสงครามในคาบสมุทรเกาหลี ปัจจุบัน กรมเสนาธิการไม่มีส่วนเกี่ยวข้องกับการการยั่วยุทางไซเบอร์โดยตรงเหมือนอย่างที่สำนักข่าวกรองหลักปฏิบัติ แต่หน่วยงานไซเบอร์ของกรมเสนาธิการอาจจะได้รับมอบหมายภารกิจให้เตรียมการโจมตีเพื่อขัดขวาง และการปฏิบัติการทางไซเบอร์เพื่อสนับสนุนปฏิบัติการทางทหารตามแบบ การที่เกาหลีเหนือเน้นความสำคัญของกองกำลังผสมระหว่างเหล่าทัพและการปฏิบัติการร่วมชี้ให้เห็นว่าหน่วยงานไซเบอร์จะถูกบูรณาการเข้ามาเป็นส่วนหนึ่งในหน่วยทหารตามแบบที่มีขนาดใหญ่กว่า”

นายลาฟอย หนึ่งในผู้เขียนรายงานการวิจัยเรื่องปฏิบัติการไซเบอร์กล่าวว่า ความเข้าใจเกี่ยวกับการทำงานภายในองค์กรของเกาหลีเหนือที่ได้จากข้อมูลสาธารณะคือทรัพยากรที่มีคุณค่าอย่างยิ่ง

“เกาหลีเหนือไม่เผยแพร่ยุทธศาสตร์ของตนเอง ดังนั้น เราจึงต้องอนุมานเอาเองว่าเกาหลีเหนือกำลังวางแผนหรือตั้งใจจะทำอะไร” นาย ลาฟอยกล่าว “เราพิจารณาหน่วยงานอย่างสำนักข่าวกรองหลัก เพื่อดูว่าหน่วยงานดังกล่าวเคยเกี่ยวข้องกับอะไรมาก่อน และตอนนี้กำลังเกี่ยวข้องกับอะไร”

นายลาฟอยระบุว่าการโจมตีทางไซเบอร์ของเกาหลีเหนือมีความรุนแรงพอที่จะทำให้เกิดความไม่พอใจในคาบสมุทรเกาหลี แต่ก็จะหยุดลงก่อนที่จะทำให้เกิดสงครามขึ้นมาจริง ๆ “ซึ่งจะเป็นความขัดแย้งอันรุนแรงที่เกาหลีเหนือไม่สามารถควบคุมได้และไม่มีทางชนะ” นายลาฟอยกล่าว “ไซเบอร์ทำให้เกาหลีเหนือมีความเสี่ยงน้อย ซึ่งคำว่าน้อยในที่นี้หมายถึงการทำให้สถานการณ์ที่เป็นอยู่ในปัจจุบันเลวร้ายขึ้น แต่ไม่ถึงกับเป็นการยั่วยุด้วยอาวุธหรือการโจมตีด้วยอาวุธ”

นายฮาน ฮุย อาจารย์ประจำสถาบันเทคโนโลยีสื่อในกรุงโซลอ้างในเดือนพฤศจิกายน พ.ศ. 2558 ว่าเกาหลีเหนือมียุทธศาสตร์การโจมตีทางไซเบอร์ที่สามารถทำให้โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศของเกาหลีใต้กว่าร้อยละ 50 กลายเป็นอัมพาต
“เป้าหมายของเกาหลีเหนือคือการทำลายผู้นำเกาหลีใต้ด้วยการโจมตีทั้งทางกายภาพและจิตวิทยา บวกกับการโจมตีทางไซเบอร์ ทำให้ประชาชนเกิดความตื่นตระหนกไปทั่วประเทศ” นายฮานกล่าว

ในระหว่างให้สัมภาษณ์สำนักข่าวยูไนเต็ด เพรส อินเตอร์เนชันนัล หรือยูพีไอ

นายฮานกล่าวกับสำนักข่าวยูพีไอว่าในการรับมือกับภัยคุกคามนั้น เกาหลีใต้ต้องทำมากกว่าแค่การตั้งหน่วยงานใหม่หรือขยายหน่วยงานที่มีอยู่เดิม เกาหลีใต้ต้องฝึกอบรมบุคลากรไซเบอร์ของตนให้มีทักษะใหม่ ๆ

ชายคนหนึ่งเดินผ่านประตูของศูนย์ตอบโต้การก่อการร้ายทางไซเบอร์ในสังกัดสำนักงานตำรวจแห่งชาติ ที่กรุงโซล ดิแอสโซซิเอทเต็ด เพรส

ชายคนหนึ่งเดินผ่านประตูของศูนย์ตอบโต้การก่อการร้ายทางไซเบอร์ในสังกัดสำนักงานตำรวจแห่งชาติ ที่กรุงโซล ดิแอสโซซิเอทเต็ด เพรส

นอกเหนือจากการเพิ่มขีดความสามารถให้กับบุคลากรด้วยการฝึกอบรมเกี่ยวกับการตรวจจับและยับยั้งการโจมตีทางไซเบอร์แล้ว รายงานเรื่องปฏิบัติการไซเบอร์ของศูนย์ยุทธศาสตร์และนานาชาติศึกษายังได้ระบุถึงวัตถุประสงค์เชิงนโยบายหลักสี่ประการในการจัดการกับภัยคุกคามทางไซเบอร์จากเกาหลีเหนือไว้ดังนี้

เตรียมการตอบโต้เป็นลำดับขั้นตอนอย่างต่อเนื่องโดยกำหนดเป้าหมายที่หน่วยงานด้านไซเบอร์ของเกาหลีเหนือโดยตรง

จำกัดเสรีภาพในการปฏิบัติการของเกาหลีเหนือในพื้นที่ไซเบอร์

พิสูจน์ทราบและใช้ประโยชน์จากจุดอ่อนของเกาหลีเหนือเพื่อรักษาความสมดุลทางยุทธศาสตร์

ใช้มาตรการบรรเทาและฟื้นฟูความเสียหายเพื่อให้มั่นใจว่าระบบและเครือข่ายที่สำคัญจะยังคงใช้การได้อย่างต่อเนื่องแม้ว่าจะถูกโจมตี

นางจุนเน้นย้ำว่าข้อเสนอแนะที่สำคัญอย่างยิ่งสำหรับรัฐบาลของทุกประเทศคือ การหารือกันด้านการป้องกันทางไซเบอร์อย่างต่อเนื่องเกี่ยวกับขีดความสามารถทางไซเบอร์ของเกาหลีเหนือ นางจุนและคณะวิจัยยังเสนอว่าการแลกเปลี่ยนข้อมูลอย่างเปิดเผยจะเป็นประโยชน์อย่างมาก เพราะจะเป็นการบังคับให้เกาหลีเหนือต้องเปลี่ยนยุทธวิธี เทคนิคและกระบวนการปฏิบัติของตนเอง ซึ่งจะเพิ่มความเสี่ยงและค่าใช้จ่ายในการปฏิบัติการทางไซเบอร์ในแต่ละครั้ง

“การแลกเปลี่ยนข้อมูลเป็นสิ่งสำคัญมากสำหรับเรื่องนี้” นางจุนกล่าว “ยิ่งมีการแลกเปลี่ยนข้อมูลว่าเกาหลีเหนือใช้วิธีการใดหรือเครื่องมือใดในการโจมตีมากขึ้นเท่าไร ก็จะยิ่งทำให้ทุกประเทศมีความพร้อมในการป้องกันการโจมตีมากขึ้นเท่านั้น เพราะการมีข้อมูลรอบด้านจะช่วยให้เกิดความเข้าใจอย่างครอบคลุมเกี่ยวกับภัยคุกคาม และช่วยให้แต่ละประเทศสามารถลดจุดอ่อนของตนเองลงได้”

หุ้น