קים נגד קריפטו: מסע תקיפה חדש של לזארוס הצפון קוריאנית

קבוצת התקיפה בסייבר הצפון קוריאנית לזארוס נצפתה מפעילה קמפיין חדש, שמציע הצעות עבודה מזויפות בלינקדאין ל-"מועמדים", בין היתר במגזר הקריפטו. את המסע חשפו באחרונה חוקרי חברת אבטחת הסייבר Bitdefender.

הקמפיין מציע לקורבנות הצעות עבודה בארגונים ממגזרי הקריפטו, הנסיעות והתיירות. מסע התקיפה כולל משלוח נוזקות שמדביקות את מערכות ההפעלה Windows, לינוקס ו-macOS.

לפי החוקרים, ההונאה מתחילה בהודעה שנשלחת בלינקדאין, שמפתה אותם עם הבטחה לעבודה מרחוק, גמישות במשרה חלקית ושכר טוב. "ברגע שהיעד מביע עניין, 'תהליך הגיוס' מתפתח. ההאקרים מבקשים מהקורבן קורות חיים, או אפילו קישור אישי למאגר גיטהאב", ציינו חוקרי חברת הגנת הסייבר הרומנית. "על אף שהן לכאורה תמימות, בקשות אלה עלולות לשרת מטרות זדוניות, כגון קצירת נתונים אישיים".

לאחר קבלת הפרטים המבוקשים, המתקפה עוברת לשלב הבא: שחקן האיום, במסווה של מגייס, משתף קישור למאגר גיטהאב או Bitbucket, שמכיל גרסת מוצר מינימלי (MVP) של פרויקט חליפין מבוזר כביכול (DEX). או אז, ההאקר מורה לקורבן לבדוק אותו ולספק את המשוב שלו.

סקריפט מבלבל, שהוא בעצם נוזקה

בתוך הקוד קיים סקריפט מבלבל, שהוא בעצם נוזקה לגניבת מידע, חוצת פלטפורמות ג'אווה סקריפט. זו מסוגלת לקצור נתונים מארנקי קריפטו שונים, שעשויים להיות מותקנים בדפדפן של הקורבן. או אז, ההאקרים מכניסים דלת אחורית מבוססת פיית'ון, שמנטרת שינויים בתוכן, שומרת על גישה מרחוק מתמשכת ומעניקה יכולת לשחרור נוזקות נוספות.

הטקטיקות שתועדו על ידי Bitdefender חופפות לאשכול פעילות תקיפה ידוע בשם Contagious Interview (הידוע גם כ-DeceptiveDevelopment וכ-DEV#POPPER).

"למרות הדימיון", ציינו במעבדות Bitdefender, "דגימת הג'אווה סקריפט הנגועה שונה מדגימות BeaverTail אחרות שנצפו בעבר. ראינו גם פרטים אחרים בשרשרת ההדבקה, שמובילים אותנו להאמין ששחקני האיום מסתגלים ומשפרים את הטקטיקות שלהם – ועושים זאת כל הזמן".

הנוזקה יכולה להוריד ולהפעיל שרת פרוקסי TOR כדי לתקשר עם שרת שליטה ובקרה (C2), לחלץ מידע מערכת בסיסי ולספק מטען נוסף, שיכול, בתורו, לשאוב נתונים רגישים, לרשום הקשות ולכרות מטבעות קריפטוגרפיים.

קבוצת ההאקרים הצפון קוריאנית לזארוס ממשיכה לפעול. צילום: אילוסטרציה. BigStock

"שרשרת ההדבקה של שחקני האיום היא מורכבת. היא מכילה נוזקות שנכתבו בכמה שפות תכנות ומשתמשות במגוון טכנולוגיות, כגון סקריפטים רב שכבתיים של פיית'ון וגניבת ג'אווה סקריפט שקוצר – דבר ראשון – את נתוני הדפדפן, לפני שהוא עובר למטענים נוספים. יש לה גם יכולת להשבית כלי אבטחה", ציינו החוקרים.

על פי דיווחים של משתמשים בלינקדאין וברדיט, שרשרת המתקפה פועלת בכמה גרסאות, עם שינויים קלים בה. בחלק מהמקרים, המועמדים מתבקשים לשכפל מאגר ווב3 ולהריץ אותו באופן מקומי – כחלק מתהליך "ראיון עבודה", בעוד שבמקרים אחרים הם מונחים לתקן באגים שהוכנסו במכוון בקוד.

מה הסכום בדולרים של מטבעות הקריפטו שנגנבו ב-2024?

באחרונה פרסמנו כי הסכום הכולל – הידוע – של מטבעות קריפטו שנגנבו ב-2024 עומד על 2.2 מיליארד דולר. חלקם של ההאקרים הצפון קוריאנים מהווה יותר ממחצית הנתון הזה, "מה שמדגיש את החשיבות של זרם ההכנסות הזה עבור פיונגיאנג" – כך על פי מחקר של צ'יין אנליסיס. החוקרים מצאו שההאקרים מהמדינה המבודדת גנבו בשנה החולפת מטבעות דיגיטליים בשווי של 1.34 מיליארד דולר – יותר מכפול מהסכום שהם גנבו ב-2023. הגניבות ב-2024 אירעו ב-47 תקריות. "חלק מהגניבות נעשו על ידי האקרים צפון קוריאנים שהתחזו לעובדי IT מרוחקים, וכך הם הצליחו להגיע לחברות קריפטו ולחברות טכנולוגיה אחרות", נכתב במחקר.

הממשל האמריקני ציין בעבר שהמשטר של קים ג'ונג און גונב מטבעות קריפטוגרפיים באופן שיטתי ועקבי, ומבצע פשעי סייבר נוספים, כדי לעקוף את הסנקציות הבינלאומיות שהוטלו על צפון קוריאה ולגייס כספים למען פעולתו.

באחד המקרים, פקידי ממשל בוושינגטון אמרו כי "האקרים צפון קוריאנים התגלו בשנים האחרונות כשודדי הבנקים המובילים בעולם… לאחר שהם הקימו וקידמו צבא של האקרים מאומנים, הם עשו זאת במשך עשרות שנים, במטרה לפגוע, כספית, במוסדות מערביים".

מומחים של האו"ם, שעוקבים אחרי יישום הסנקציות הבינלאומיות על צפון קוריאה, חשפו בעבר שהמדינה משתמשת בכסף שנגנב בפשעי סייבר כדי לסייע במימון תוכניות הטילים הבליסטיים והגרעין שלה.