Ripple ส่งมอบข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์จากเกาหลีเหนือให้กับ Crypto ISAC ท่ามกลางผลกระทบจากการแฮ็ก Drift

Ripple กำลังส่งมอบข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์จากเกาหลีเหนือแบบเอกสิทธิ์ให้กับ Crypto ISAC รวมถึงโดเมนปลอม ที่อยู่กระเป๋าเงิน และตัวบ่งชี้การถูกบุกรุก (Indicators of Compromise) ในขณะที่อุตสาหกรรมกำลังเผชิญกับการโจมตีทางวิศวกรรมสังคมที่ซับซ้อนหลายครั้ง ข้อมูลข่าวกรองนี้ประกอบด้วยโปรไฟล์ที่สมบูรณ์ของผู้ต้องสงสัยว่าเป็นพนักงานไอทีชาวเกาหลีเหนือ พร้อมด้วยบัญชี LinkedIn อีเมล สถานที่ และหมายเลขติดต่อที่เชื่อมโยงกับแคมเปญไซเบอร์ในวงกว้าง การดำเนินการนี้มีขึ้นไม่กี่สัปดาห์หลังจากการแฮ็ก Drift ซึ่งแสดงให้เห็นว่าผู้โจมตีสามารถสร้างความไว้วางใจเป็นเวลาหลายเดือนเพื่อเจาะระบบกระเป๋าเงินแบบ multisig และหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม

เบื้องหลังข้อมูลที่ถูกส่งมอบ

การมีส่วนร่วมของ Ripple ไม่ใช่แค่ข้อมูลดิบเท่านั้น แต่ยังรวมถึงโปรไฟล์ของพนักงานไอทีที่เชื่อมโยงกับเกาหลีเหนือ (DPRK) ซึ่งบริษัทต่างๆ สามารถตรวจสอบได้ในระหว่างการจ้างงานและการตรวจสอบคู่ค้า ผู้อำนวยการบริหารของ Crypto ISAC กล่าวว่าข้อมูลข่าวกรองที่แบ่งปันกันได้เปลี่ยนจากทางเลือกมาเป็น 'มาตรฐานทองคำ' สำหรับความปลอดภัยในอุตสาหกรรมคริปโต องค์กรเตือนว่าผู้คุกคามที่ตรวจสอบประวัติไม่ผ่านในบริษัทหนึ่ง มักจะสมัครงานกับอีกสามแห่งในสัปดาห์เดียวกัน ทำให้การแบ่งปันข้อมูลเป็นสิ่งจำเป็นในทางปฏิบัติ ไม่ใช่แค่สิ่งที่ดีมี

กรณีศึกษา Drift

การแฮ็ก Drift ไม่ใช่การโจมตีแบบรวดเร็ว ผู้โจมตีใช้เวลาหลายเดือนในการสร้างความไว้วางใจกับเป้าหมาย ก่อนที่จะใช้ประโยชน์จากการควบคุมกระเป๋าเงินแบบ multisig การป้องกันแบบดั้งเดิมอย่างไฟร์วอลล์ โปรแกรมป้องกันไวรัส และการตรวจสอบจุดสิ้นสุดมาตรฐาน ไม่สามารถตรวจจับกลยุทธ์ระยะยาวนี้ได้ นั่นคือภัยคุกคามที่ได้รับประโยชน์สูงสุดจากการแบ่งปันข้อมูลข่าวกรอง: การสังเกตรูปแบบข้ามบริษัทที่ไม่มีบริษัทใดเห็นเพียงลำพัง

วิธีการแบ่งปันข้อมูล

Ripple, Coinbase และสมาชิกผู้ก่อตั้ง Crypto ISAC รายอื่นๆ กำลังบูรณาการข้อมูลภัยคุกคามของตนผ่าน API ใหม่ที่ปรับมาตรฐานตัวบ่งชี้ทั้งในสภาพแวดล้อม Web2 และ Web3 สำหรับการดำเนินงานด้านความปลอดภัย API ช่วยให้บริษัทสมาชิกสามารถดึงโปรไฟล์ภัยคุกคามที่สมบูรณ์ไปยัง SIEM และขั้นตอนการตอบสนองต่อเหตุการณ์ได้โดยตรง ลดระยะเวลาระหว่างการตรวจพบผู้ไม่หวังดีและการบล็อกพวกเขาทั่วทั้งเครือข่าย

Crypto ISAC คาดว่าจะมีสมาชิกเพิ่มมากขึ้นที่เชื่อมต่อกับ API ในอีกไม่กี่เดือนข้างหน้า สำหรับตอนนี้ จุดเน้นอยู่ที่การส่งข้อมูล DPRK ไปยังบริษัทที่มีแนวโน้มถูกโจมตีมากที่สุด เช่น กระดานเทรด ผู้ดูแลสินทรัพย์ และโปรโตคอล DeFi บทเรียนจาก Drift แสดงให้เห็นว่าผู้โจมตีมีความอดทน คำตอบของอุตสาหกรรมจึงต้องคงเส้นคงวาไม่แพ้กัน