נא להכיר: הקבוצה הצפון קוריאנית שתקפה בסייבר תעשיות ביטחוניות בישראל

אתמול (ד') פורסם כי לזרוס, קבוצת האקרים מצפון קוריאה, ניסתה לתקוף בסייבר תעשיות ביטחוניות בישראל – מתקפה שהמלמ"ב במשרד הביטחון סיכל.

חוקרי קלירסקיי הישראלית עוקבים אחרי קבוצת ההאקרים הזו מזה מספר חודשים, מאז יוני האחרון. הם כינו את פעילות הקבוצה הזו מבצע משרת חלומות – Dream Job. לידי אנשים ומחשבים הגיע דו"ח המחקר, שכעת מותר לפרסום.

"מערך זה פועל כמה חודשים בישראל ובמדינות רבות נוספות בעולם והצליח, להערכתנו, להדביק ולגנוב מידע מעשרות רבות של חברות וארגונים", כתבו החוקרים. "היעדים המרכזיים כוללים חברות ביטחוניות, חברות ממשלתיות ועובדים מאותן חברות". במסגרת הקמפיין, הצליחה קבוצת התקיפה לשטות במותקפים באמצעות הצעה של משרת חלומות שנשלחה לעובדי אותם ארגונים.

משרת החלומות נשלחה, כביכול, מחברות התעופה והביטחון הבולטות ביותר בארצות הברית, ובהן לוקהיד מרטין, בואינג ו-BAE. "ההתחזות לחברות אלה הקלה מאוד על ההדבקה בנוזקה והחדירה למערכות המחשוב של היעדים המותקפים באמצעות הנדסה חברתית, שכללה איסוף מודיעין, הקמת פרופילים מתחזים בלינקדאין, משלוח מיילים לתיבות דואר אישיות של היעדים, וקיום דיאלוג מתמשך עם היעד המותקף – כולל שיחות ישירות בטלפון ושיחות באמצעות ווטסאפ", ציינו חוקרי קלירסקיי. "לאחר ההדבקה, פעלו התוקפים להשגת מודיעין על החברה ועל ההתנהלות הפיננסית שלה, כדי גם לגנוב כסף ממנה. המתווה הכפול ייחודי לצפון קוריאה, שמפעילה יחידות מודיעין שעוסקות גם בריגול וגם בגניבת כספים עבור המדינה".

"השימוש בהתחזות למנהלי גיוס ופנייה לעובדים והצעת משרות קוסמות נפוץ בקרב קבוצות תקיפה מדינתיות המפעילות שיטות הנדסה חברתית", נכתב בדו"ח. "לזרוס מפעילה מתחילת השנה מערך המתמקד בגיוס ופיתוי עובדים למשרות קוסמות. פניה יזומה ליעד המותקף עם הצעה מפתה מקנה לתוקפים כמה יתרונות, ביניהם הסתרת התקיפה באמתלה של הצורך בדיסקרטיות – וכך לעקוף את מנגנוני האבטחה של הארגון".

"במערך משרת החלומות", ציינו, "התוקפים השתמשו במגוון כלי תקיפה, כדי להדביק את המותקף בנוזקה ולבסס דריסת רגל בארגון המותקף. אנשי לזרוס פיתחו את מרבית הכלים בהם השתמשו, כלים ברמת תחכום גבוהה, וכמו כן ביצעו מודיפיקציה לכלים לגיטימיים, כך שישמשו אותם".

ב-2019 חשפו חוקרי קלירסקיי עדות ראשונה לתקיפה של הקבוצה בישראל, במסגרתה ניסתה הקבוצה לחדור לרשת של חברה ביטחונית ישראלית.

לינקדאין – הפלטפורמה ה-"חביבה" על ההאקרים

על פי החוקרים, "לינקדאין משמשת פלטפורמת ההונאה והתקיפה העיקרית… זהו קמפיין התקיפה העיקרי של לזרוס השנה. הוא מגלם את כל הידע הנצבר של הקבוצה בשנים האחרונות בפריצה לארגונים בעולם".

בדו"ח נכתב כי "לקבוצה יש שלושה מתווי הדבקה במערך זה: חשיפה ראשונה של הדבקה באמצעות הרצת PDF זדוני בקורא Source Open PDF שעבר התאמה לצרכי קבוצת ההאקרים; הדבקה באמצעות קובץ DOC שנגוע במאקרו זדוני; והדבקה באמצעות קובץ DOTM שיורד משרת פרוץ, ולאחר החלפתו בקובץ המקורי מריץ המותקף מאקרו זדוני".

לזרוס – האחראית ל-WannaCry. אילוסטרציה: פאנג רום, BigStock

"לזרוס", ציינו המומחים, "היא קבוצת APT צפון קוריאנית, שמוכרת גם בתור APT37 או Cobra Hidden, ויש שתי תתי קבוצות שמקושרות אליה – Bluenoroff ו-Andariel. הן התפרסמו ב-2014 בפריצה לסוני, שהייתה נקמה על הפקת סרט הקומדיה ראיון סוף, בו ראתה צפון קוריאה השפלה ואיום כלפי המנהיג שלה, קים ג'ונג און. ב-2017 הקבוצה ביצעה את אחת ממתקפות הכופרה וההרס המשמעותיות ביותר אי פעם בעולם – WannaCry, שהשביתה עשרות חברות בעולם וגרמה לנזקים ישירים ועקיפים במיליארדי דולרים. WannaCry הבהירה את גודל האיום של צפון קוריאה במרחב הסייבר".

עיקר הפעילות – במישור הכלכלי

חוקרי קלירסקיי מציינים בדו"ח כי "עיקר הפעילות של לזרוס הוא במישור הכלכלי. הקבוצה מגויסת למאמץ של השלטון הצפון קוריאני לעקוף את הסנקציות המוטלות עליה בעיקר על ידי ארצות הברית והאו"ם מזה שנים רבות. לזרוס עמדה מאחורי כמה ניסיונות גניבת כסף המשמעותיים ביותר במרחב הסייבר, והמפורסם שבהם הוא התקיפה נגד הבנק המרכזי של בנגלדש, שבמסגרתה היא ניסתה לגנוב 951 מיליון דולר והצליחה לגנוב כ-81 מיליון. התקיפה נעצרה עקב טעות אנוש של אחד מהתוקפים".

תקיפה נוספת התרחשה בתחילת 2019, נגד Redbanc – חברה המקשרת את תשתית הסליקה של הבנקים בצ'ילה. אחד המאפיינים של תקיפה זו, שלא אפיינו את המתקפות של לזרוס עד אז, היה יצירת מגע ישיר עם היעד המותקף. התוקפים התחזו למגייסי כוח אדם וניהלו ראיונות, בין היתר בספרדית, עם המותקפים, לרוב באמצעות שיחות סקייפ. "יצירת מגע ישיר (על ידי חברי הקבוצה – י"ה), מעבר לפישינג, היא נדירה, אך ההאקרים אימצו אותה כדי לוודא התקפה מוצלחת", הוסיפו החוקרים. לפי דו"ח של האו"ם מאוגוסט אשתקד, הקבוצה הצליחה לגנוב יותר משני מיליארד דולר, למטרת מימון תכנית הגרעין של צפון קוריאה.

"ב-2019", כתבו בקלירסקיי, "הקבוצה העבירה את המיקוד שלה ממוסדות פיננסיים קלאסיים לתקיפת בורסות כסף קריפטוגרפי ולפיתוח כלי תקיפה של מערכות ההפעלה Mac ולינוקס. זאת, בנוסף לכלים המוכרים נגד Windows. על אף שהמטרה העיקרית של הקמפיין, כך נראה, הייתה ריגול, התוקפים ניצלו את הנגישות והמידע על המחשבים המודבקים לצורך ביצוע גניבה כספית באמצעות הונאות (BEC – ר"ת Business email compromise)".

שוב איראן? אילוסטרציה: BigStock צילום: BigStock

האם לזרוס משתפת פעולה עם איראן?

"ייתכן שקבוצת התקיפה פועלת לגנוב מידע ביטחוני, אולי כחלק משיתוף פעולה בינה לבין מדינות אחרות, דוגמת איראן", ציינו החוקרים.

הם סיכמו בכתבם כי "עבודה מרחוק, במיוחד בתקופת הקורונה, הסגרים והבידוד, מייצרת אתגרים חדשים לארגונים שנאלצים למתוח את מערכי האבטחה שלהם. לינקדאין מהווה פלטפורמה אידיאלית לתקיפות מסוג זה – יכולת ליצור פרופיל שיאפשר לשטות במותקף, חיסכון בזמן ובמאמץ באיסוף מודיעין לאיתור היעדים שלהם והסוואת מעשיהם. בנוסף, לינקדאין לא מספקת הגנה מספיקה למשתמשים בה. היא פלטפורמה אידיאלית ליצירת פרופילים מזויפים לצורך מתקפות סייבר. פנייה ישירות לעובדים, במסלול עוקף הגנות ארגוניות, אפשרה לקבוצת התקיפה הצפון קוריאנית לחדור למערכות רגישות ולחברות ביטחוניות בכל העולם".