ה-NSA מתריע: קימסוקי שבה לפעול ובתחכום

סוכנויות הביון של ארה"ב ודרום קוריאה פרסמו אזהרה חדשה על השימוש של שחקני איום בסייבר מצפון קוריאה, בטקטיקות של הנדסה חברתית כדי לפגוע בצוותי חשיבה, בגופי אקדמיה ובארגוני תקשורת וחדשות.

"מאמצי איסוף המידע המתמשכים", מכבסת מילים לריגול וגניבה בסייבר, יוחסו לקבוצת ההאקרים קימסוקי (Kimsuky), הפועלת בחסות מדינת האי. זו מבצעת פעולות סייבר התקפיות נגד דרום קוריאה, מדינות אירופה וארצות הברית. המתקפות מתמקדות בחברות מסחריות ובמוסדות פיננסיים, ומטרתן לרגל, לגנוב כספים ולהעבירם לצפון קוריאה. הקבוצה "זכתה" לכמה כינויים, בהם APT43, Black Banshee, ARCHIPELAGO, Emerald Sleet (לשעבר ת'אליום, Thallium) והיא פעילה מאז 2012.

"צפון קוריאה נסמכת במידה רבה על מודיעין שהושג ממסעות הדיוג הללו", אמרו סוכנויות הביון, "יש לחברי הקבוצה רקורד של פריצות מוצלחות למערכות ולמחשבים שאותם הם תקפו באופן ממוקד. המתקפות מאפשרות לשחקני האיום ליצור הודעות דוא"ל דיוג אמינות ואפקטיביות יותר, שניתן למנף אותן כנגד יעדים רגישים בעלי ערך גבוה".

במקביל, משרד החוץ של דרום קוריאה השית עיצומים על קבוצת הפריצה הצפון קוריאנית וזיהה שתי כתובות של ארנקים ומטבעות קריפטוגרפיים, ששימשו אותה לקבלת כספים ועשיית שימוש בהם.

רוב ג'ויס, מנהל אבטחת סייבר ב-NSA, הסוכנות לביטחון לאומי של ארה"ב, אמר בהודעת האזהרה, כי חברי קבוצת ההאקרים ידועים כמי שעוסקים באיסוף מודיעין טקטי על אירועים ודיונים גיאופוליטיים, המשפיעים על האינטרסים של המשטר. "שחקני הסייבר הללו מתחזים לגופים לגיטימיים", ציין, "כדי לאסוף מידע מודיעיני על אירועים גיאופוליטיים, אסטרטגיות מדיניות חוץ והתפתחויות ביטחוניות, המעניינים את המשטר הצפון קוריאני".

לדברי ג'ויס, הגופים שהותקפו כללו עיתונאים, חוקרים אקדמיים, חוקרים בצוותי חשיבה ופקידי ממשל. הוא הוסיף, כי המיקוד היה על אנשים שעובדים בעניינים הקשורים לצפון קוריאה, כמו מדיניות חוץ ופוליטיקה.

המטרה של תוכניות המתקפה בסייבר של חברי קימסוקי, אמרו גורמים רשמיים, היא להשיג גישה לא חוקית למחשבי הקורבנות, להשיג נתונים גנובים ותובנות ברמה הגיאו-פוליטית, החשובים לממשל של צפון קוריאה.

לפי גופי הביון המערביים, "חברי קימסוקי נצפו ממנפים מידע בקוד פתוח, כדי לזהות יעדים פוטנציאליים שיהפכו לקורבנות, ובהמשך לעצב את הדמויות המקוונות שלהם – של התוקפים – כך שייראו לגיטימיות יותר. זאת על ידי יצירת כתובות דוא"ל הדומות לכתובות דוא"ל של אנשים אמיתיים שאליהם הם מבקשים להתחזות".

אנליסטים ציינו, כי אימוץ זהויות מזויפות היא טקטיקה שאומצה על ידי קבוצות אחרות הפועלות בחסות צפון קוריאה, ומשמש כתכסיס שנועד להשיג את אמון הקורבנות.

לפי ההתראה, "שחקני האיום של קימסוקי מתאימים את הנושאים שלהם לתחומי העניין של היעד שאותו יתקפו. הם יעדכנו את התוכן שלהם כך שהוא יהיה מעודכן ומשקף אירועים עכשוויים שנדונו בקרב קהילת הגופים שמתעניינים בצפון קוריאה".

מלבד השימוש בישויות מזויפות, ההודעות האלקטרוניות של התוקפים מגיעות עם מסמכים שמוחבא בהם תוכן זדוני, ואלה מוגנים באמצעות סיסמה ומצורפים ישירות או מתארחים ב-Google Drive או ב-Microsoft OneDrive. קובצי הפיתוי, כאשר הם נפתחים, דוחקים בנמענים להפעיל פקודות מאקרו, וכתוצאה מכך לאפשר גישה מסוג דלת אחורית למכשירים באמצעות נוזקות כגון BabyShark. אז ההאקרים הופכים את הגישה שלהם למחשבי הקורבן למתמשכת, ובהמשך הם מבצעים העברה אוטומטית של כל האימיילים שנוחתים בתיבת הדואר הנכנס של הקורבן – אליהם.