Iran Threat Group Uses Fake LinkedIn Network to Target Victims
ក្នូងកំឡុងពេលដែលធ្វើការស្រាវជ្រាវអំពីក្រុមឧក្រិដ្ឋជនអិុនធឺណិតដែលមានមូលដ្ឋាននៅក្នុងប្រទេសអីុរ៉ង់ ដែលត្រូវបានគេស្គាល់ថាជាក្រុម ២៨៨៩ (Threat Group 2889) ក្រុមហុ៊ន Dell SecureWorks បានរកឃើញនូវបណ្តាញ LinkedIn ក្លែងក្លាយដ៏ធំសំបើមមួយ ដែលត្រូវបានបង្កើតឡើងដើម្បីជួយទៅដល់ឧក្រិដ្ឋជនក្នុងការកំណត់គោលដៅវាយប្រហារ ដោយប្រើប្រាស់បច្ចេកទេស Social Engineering ។
មានប្រវត្តិរូបក្លែងក្លាយចំនួន ២៥រូបត្រូវបានបង្កើតជា LinkedIn profile ។ ប៉ុន្តែនៅពេលដែលធ្វើការវិភាគនូវការជាប់ពាក់ព័ន្ធជាមួយនឹងគណនីក្លែងក្លាយទាំងនោះ ក្រុម Dell SecureWorks បានរកឃើញនូវគណនីពិតប្រាកដចំនួន ២០៤ ក៏ស្ថិតនៅក្នុងបណ្តាញជាមួយនោះដែរ។ ភាគច្រើននៃអ្នកទាំងអស់នោះ គឺបម្រើការងារនៅ Middle East ហើយដទៃទៀតនៅ North Africa និង South Asia ដែលទំនងជាគោលដៅនៃក្រុម ២៨៨៩ នេះ ហើយភាគច្រើនគឺនៅក្នុងផ្នែកទូរគមនាគមន៍, រដ្ឋាភិបាល និងការពារជាតិ។
នៅក្នុងគណនីក្លែងក្លាយទាំង ២៥ នោះគឺចែកចេញជាពីរជំពូក ១/គណនីជាអ្នកដឹកនាំ និង ២/អ្នកគាំទ្រ។
“វាប្រាកដណាស់ថា TG-2889 បានចំណាយធនធានយ៉ាងច្រើន (ពេលវេលា និងភាពអត់ធ្មត់) ដើម្បីបង្កើតនិងថែទាំនូវគណនីក្លែងក្លាយទាំងនេះ”
គណនីជាអ្នកដឹកនាំ គឺជាគណនីពេញលេញមួយដែលរួមមាននូវប្រវតិ្តនៃការសិក្សា ការងារបច្ចុប្បន្ននិងអតីតកាល វិញ្ញាបនប័ត្រផ្សេងៗ និងសមាជិកនៃក្រុម LinkedIn ផ្សេងៗ។ ក្នុងចំណោមគណនី ៨ ដែលត្រូវបានកំណត់អត្តសញ្ញាណ មាន ៦គណនីមាន 500 connections, ១គណនីមាន 275 connections និង ១គណនីទៀតមាន 46 connections។ ក្នុងចំណោម ៨ គណនីជាអ្នកដឹកនាំ មាន ៥គណនីដាក់ថា ធ្វើការជាអ្នកជ្រើសរើសបុគ្គលិក សម្រាប់ក្រុមហ៊ុន Teledyne, Northrop Grumman និង Airbus Group ហើយនៅដល់ ៣ គណនីទៀតដាក់ថា ធ្វើការឲ្យក្រុមហ៊ុន Doosan និង Petrochemical Industries Co.។
ក្រៅពីគណនីខាងលើនេះ គណនីផ្សេងទៀតមានការថែទាំតិចតួច។ គណនីទាំងនោះប្រើប្រាស់នូវទម្រង់តែមួយ (same template) មាននូវ 05 connections និងការបរិយាយយ៉ាងសាមញ្ញពីការងារណាមួយ។
Dell ក៏បានរកឃើញដែលថា រូបភាពនៃគណនីអ្នកគាំទ្រចំនួន ៣ គឺត្រូវបានរកឃើញនៅលើអិុនធឺណិត ហើយដែលជារបស់អ្នកផ្សេង។ ការស្រាវជ្រាវផ្សេងទៀតទៅលើ ១៧ គណនីអ្នកគាំទ្រ ក៏បានបង្ហាញថាអត្តសញ្ញណទាំងនោះមិនពិតប្រាកដដែរ។
តាមរយៈបណ្តាញនៅក្នុង LinkedIn វាអាចអនុញ្ញាតឲ្យឧក្រិដ្ឋជនធ្វើការបង្កើតទំនាក់ទំនងជាមួយនឹងគោលដៅណាមួយ (ជនរងគ្រោះ) ដោយធ្វើការទាក់ទង ពួកគេដោយផ្ទាល់។ TG-2889 អាចប្រើប្រាស់បចេ្ចកទេស spearphishing ឬក៏វេបសាយផ្ទុកមេរោគ ដើម្បីធ្វើការវាយប្រហារទៅលើជនរងគ្រោះ ហើយបង្កើតនូវទំនាក់ទំនងស្មោះត្រង់ ដើម្បីបង្កើនភាពទុកចិត្ត។
ក្រុម TG-2889 គឺជាក្រុមតែមួយដែលក្រុមហ៊ុនសន្តិសុខ Cylance ហៅថា “Operation Cleaver Team” ។
Dell SecureWorks បានជូនដំណឹងជាផ្លូវការទៅកាន់ក្រុមហ៊ុន LinkedIn ទាក់ទងទៅនឹងគណនីក្លែងក្លាយទាំង ២៥នោះ ហើយក្នុងពេលនេះ ក្រុមហ៊ុន LinkedIn ក៏បានបិទនូវគណនីទាំងនោះហើយដែរ។ ទន្ទឹមនឹងនោះផងដែរ Dell SecureWorks ក៏បានធ្វើការជូនដំណឹងទៅលដល់អង្គភាព និងក្រុមហ៊ុន នានាដែលត្រូវបានប្រើប្រាស់ និងជូនដំណឹងទៅដល់អាជ្ញាធរមានសមត្ថកិច្ចផងដែរ។
ប្រភព http://www.secureworks.com/