שיא: האקרים צפון קוריאנים גנבו השנה יותר מ-2 מיליארד דולר בקריפטו

2025 לא הסתיימה: האקרים צפון קוריאנים גנבו השנה יותר מ-2 מיליארד דולרים במטבעות קריפטוגרפיים, כך לפי חברת ניתוח הבלוקצ'יין אליפטיק (Elliptic). מדובר בנתון שיא.

פריצת ענק השנה הייתה בפברואר, במתקפה על בורסת הקריפטו Bybit, שממנה נגנבו 1.46 מיליארד דולר. זמן לא רב לאחר הפריצה, קבוצת Lazarus הנודעת לשמצה מצפון קוריאה נצפתה על ידי חברות הגנת סייבר מנסה להלבין את סכום העתק. ה"חברים" מצפון קוריאה מקושרים ליותר משלושים פריצות נוספות.

"הנתון האמתי של היקף הפריצות שבוצעו על ידי האקרים מצפון קוריאה עשוי להיות גבוה עוד יותר", אמרו חוקרי החברה, "אנו מודעים לגניבות רבות אחרות, שיש להן כמה מסימני ההיכר של פעילות מצפון קוריאה, אבל חסרות ראיות מספיקות כדי לייחס אותן בוודאות. סביר להניח שגניבות אחרות אינן מדווחות ונותרות לא ידועות".

האקרים צפון קוריאנים פורצים לא רק לבורסות, ציינו חוקרי אליפטיק, "ראינו השנה מספר הולך וגדל של התקפות על אנשים בעלי הון". החוקרים הסבירו כי כאשר מחירי מטבעות הקריפטו עולים, ומחיר הביטקוין מגיע לשיאים, "אנשים אלה הם מטרות אטרקטיביות יותר ויותר, והגנות האבטחה שלהם אינן נרחבות ומרובדות כמו אלה שנפרסות על ידי ארגונים".

חלק מהקורבנות היו מטרה למתקפות בגלל קשריהם המקצועיים. האקרים התחזו למגייסים, או למשקיעים – כדי לפנות לאנשים שעובדים עבור חברות להן יש אחזקות קריפטו משמעותיות. ברגע שהמתקפות הללו צלחו – התוקפים ניסו להגיע למערכות החברה ולגנוב ממנה כספים.

עוד ציינו החוקרים, כי האקרים צפון קוריאנים בנו פרופילים מזויפים כדי להתקרב לאנשים אלה. "הדגש הוא על אינטראקציה אישית. זו מקשה על כלי אבטחת סייבר סטנדרטיים לזהות את האיום מוקדם", הסבירו.

טקטיקה אחת, המשמשת לעתים קרובות היא עריכה של שיחות וידיאו מזויפות. ההאקרים מתחזים למשקיעי הון סיכון, או למשתפי פעולה במיזמים עסקיים. לפעמים הם עושים שימוש בחשבונות מדיה חברתית אמיתיים, שנגנבו. ברגע שהקורבן מצטרף לשיחה, מתרחשת "תקלת שגיאה" כביכול, ואז הקורבן מתבקש להריץ קוד שורת פקודה. קוד זה מתקין נוזקות, ומאפשר להאקרים לגנוב כספים או לפגוע בפרוטוקולים שלקורבנות יש גישה אליהם.

תכסיס נפוץ נוסף הוא מסוג "עבודה חלומית". ההאקרים פונים למפתחים ושולחים להם הצעות עבודה מפתות. המפתחים נדרשים להשלים "מבחן מיומנויות" הכולל מאגר קוד שעבר שיבוט, והוא מכיל נוזקות נסתרות.

רוב הפריצות השנה נסמכו על הנדסה חברתית. זאת בשונה משנים קודמות, שבהן תוקפים ניצלו לעתים קרובות באגים או פגמים בקוד הבלוקצ'יין ובחוזים חכמים, ציינו חוקרי אליפטיק. "שינוי זה מדגיש שנקודת התורפה באבטחת מטבעות קריפטוגרפיים היא יותר ויותר אנושית – ולא טכנית".

עוד ציינו החוקרים, כי מדינת האי ממשיכה גם לפעול בהעסקת "עובד IT חשאי", כדי להגדיל בקביעות את תזרים המזומנים של המדינה. ההאקרים משמשים כ"סוכנים כפולים" – הם מועסקים בחברות טק מערביות, ו"על הדרך" גונבים מידע מהחברות המעסיקות אותם, ומעבירים אותו לעמיתיהם, לטובת הוצאה לפועל של עוד מתקפות, לרבות כופרות. כעת, באופן טבעי, ה"מועמדים" לעבודה מנסים להתקבל לארגונים ממוקדי בינה מלאכותית. זאת, לצד מוסדות פיננסיים וחברות פינטק, ארגוני בריאות, ואפילו ארגונים ממשלתיים וגופים ציבוריים בארה"ב, המזרח התיכון ואוסטרליה.

בדצמבר האחרון פרסמנו, כי ב-2024, האקרים מצפון קוריאה גנבו יותר מכפול קריפטו מב-2023. הסכום הכולל – הידוע – של מטבעות קריפטו שנגנבו בשנה שעברה עמד על  2.2 מיליארד דולר. חלקם של האקרים צפון קוריאנים היווה יותר ממחצית הנתון הזה ועמד על כ-1.34 מיליארד.

הממשל בארה"ב אמר בעבר כי המשטר הצפון קוריאני עושה שימוש שיטתי ועקבי בגניבת מטבעות קריפטוגרפיים, לצד פשעי סייבר נוספים, כדי לעקוף את הסנקציות הבינלאומיות שהוטלו על צפון קוריאה ולגייס כספים למען הממשל. נכסי הקריפטו הגנובים מזרימים חמצן חיוני ורב לכלכלה המבודדת של צפון קוריאה.

באחד המקרים פקידי ממשל אמרו, כי "האקרים צפון קוריאנים התגלו בשנים האחרונות כשודדי הבנקים המובילים בעולם… לאחר שהקימו וקידמו צבא של האקרים מאומנים, הם עשו זאת במשך עשרות שנים, במטרה לפגוע (כספית) במוסדות מערביים". ארה"ב העריכה בעבר כי כשליש מתוכנית הטילים של צפון קוריאה ממומנת על ידי פשעי סייבר.