פריצת הענק לבייביט: ההאקרים מצפון קוריאה פדו מאות מיליונים

ההאקרים הצפון קוריאנים העומדים מאחורי פריצת הענק לבורסת הקריפטו בייביט, בהיקף השיא של 1.5 מיליארד דולר, הצליחו לפדות לפחות 300 מיליון דולר. זאת, למרות מאמצי החוקרים לחסום את עסקאותיהם.

הפריצה התרחשה לפני כשבועיים, ומאז ההאקרים עמלים סביב השעון כדי להמיר את הקריפטו הגנוב שלהם למזומן.

לדברי ד"ר טום רובינסון, מייסד-שותף של חברת חקירות הקריפטו אליפטיק, "כל דקה חשובה להאקרים. הם מנסים להצפין ולמסך את נתיב הכסף והם מתוחכמים מאוד במה שהם עושים". חוקרי אליפטיק מעריכים כי כחמישית מנכסי הקריפטו הגנובים כבר הועלמו.

לפי ה-FBI, מי שעומדת מאחורי הפריצה היא קבוצת לזרוס – ארגון פשעי הסייבר המיומן ביותר בצפון קוריאה, ואשר ידוע לשמצה בביצוע גניבות נועזות. הערכת הבולשת היא שההכנסות מגניבת הענק נועדו למימון תוכניות הטילים הבליסטיים והגרעין של המשטר בפיונגיאנג.

מנכ"ל בייביט: "כספם של הלקוחות בטוח"

בן ז'ואו, מנכ"ל בייביט, הבטיח ללקוחות שכספם בטוח, כיוון שהחברה החזירה את הסכום שנגנב באמצעות הלוואות משקיעים. "אנחנו מנהלים מלחמה מול לזרוס", אמר.

לדברי ד"ר דורית דור, סמנכ"לית הטכנולוגיות של צ'ק פוינט, "(בשל העיצומים הכלכליים נגדה – י"ה) צפון קוריאה היא מערכת מאוד סגורה ויש לה כלכלה סגורה. לכן, השלטון שלה יצר תעשייה מצליחה של האקרים והלבנת כספים, ולא אכפת לו מהרושם השלילי שיוצרת פשיעת סייבר".

ד"ר רובינסון ציין כי "צפון קוריאה היא הטובה ביותר בהלבנת קריפטו מבין כל השחקנים הפליליים המעורבים בגניבות והונאות של מטבעות קריפטוגרפיים".

כך ההאקרים ביצעו את השוד

ההאקרים חברי לזרוס השיגו גישה לאחד הספקים של בייביט ב-21 בפברואר ושינו בחשאי את כתובת הארנק הדיגיטלי אליו היו אמורים להישלח 401 אלף מטבעות את'ריום. הבורסה חשבה שהיא מעבירה את הכספים לנמען המיועד, אך הכספים הופנו לכתובת הנשלטת על ידי ההאקרים.

תחקיר של הניו יורק טיימס העלה כי כאשר המנכ"ל, ז'ואו, אישר את העסקה, בשל נוזקה שקיבל במייל, הוא העביר, בשוגג, את השליטה בחשבון להאקרים מצפון קוריאה. המהלך הביא לשוד הקריפטו הגדול ביותר בהיקפו הכספי אי פעם.

כדי לבצע את הפריצה המדהימה, ההאקרים ניצלו פגם פשוט באבטחה של בייביט: ההסתמכות שלה על מוצר תוכנה חופשית. הפצחנים הצליחו לחדור לחברה על ידי מניפולציה של מערכת זמינה לציבור שהבורסה השתמשה בה כדי לשמור על מאות מיליוני דולרים בפיקדונות לקוחות.

פריצה מדהימה של ההאקרים הצפון קוריאנים. צילום: BigStock

במשך שנים הסתמכה בייביט על תוכנת האחסון, שפותחה על ידי ספקית טכנולוגיה בעלת השם האירוני מעט Safe. הבורסה המשיכה לעשות זאת גם כשחברות אבטחה אחרות מכרו כלים מיוחדים יותר לעסקים. אחד המומחים ציין כי "כלי האחסון של Safe נמצא בשימוש נרחב בתעשיית הקריפטו. אבל הוא מתאים יותר לחובבי קריפטו מאשר לבורסות שמטפלות בפיקדונות של מיליארדי דולרים של לקוחות".

מומחי אבטחת קריפטו אמרו כי הם מוטרדים ממה שחשף השוד על פרוטוקולי ונהלי האבטחה של בייביט. לפי חלקם, "הפריצה כלל לא הייתה צריכה לקרות".

המנכ"ל הודה: הייתה לנו אזהרה מוקדמת

באחד הראיונות שנתן בסוף השבוע הודה ז'ואו שהייתה לחברה אזהרה מוקדמת על בעיות אפשריות עם Safe. לדבריו, "שלושה או ארבעה חודשים לפני הפריצה, החברה שמה לב שהתוכנה לא תואמת באופן מלא את אחד משירותי האבטחה האחרים שלה… היינו צריכים לשדרג ולהתרחק מ-Safe. אנחנו בהחלט מחפשים דרך לעשות זאת עכשיו".

Safe מסרה בתגובה כי "יצרנו תכונות אבטחה חדשות כדי להגן על המשתמשים. המוצרים שלנו הם מעין 'עמוד השדרה' הפיננסי של כמה מהארגונים הגדולים ביותר בתחום".

בייביט היא בורסת הקריפטו השנייה בגודלה בעולם, והיא מגלגלת עשרות מיליארדי דולרים מדי יום. החברה, שבסיסה בדובאי, לא מציעה שירותים ללקוחות בארצות הברית.