חפרפרת צפון קוריאנית הפעילה מבצע ריגול מתוחכם בחברה מערבית

חברת הסייבר הישראלית סיגניה חשפה היום (ד') פרטים על מתקפה שבמסגרתה אזרח צפון קוריאני הצליח לחדור לרשת של חברה מערבית, שזהותה לא נמסרה – לא באמצעות פריצה, אלא תחת מסווה של עובד לגיטימי.

המתקפה נחשפה בעקבות חקירה פורנזית שביצעה סיגניה, לאחר שהחברה שנפלה קורבן לאותה מתקפה העבירה לה לבדיקה מחשב שהיא נתנה לעובד חדש – וזה החזיר אותו. במהלך הניתוח מצאו החוקרים מערך שליטה מרחוק מתוחכם, שהתבסס על שילוב יצירתי של פרוטוקולי רשת נשכחים, כלים פופולריים כמו זום וסקריפטים זדוניים מוסווים בתוך סביבת פיתוח תקינה.

העובד – אזרח צפון קוריאני שאותה חברה מערבית העסיקה במיקור-חוץ – השתמש בזהות מזויפת וקיבל גישה מלאה למערכות הפנימיות של הארגון, תוך שימוש ב-VPN הארגוני ובלפטופ שנשלח אליו כחלק מתהליך הקליטה. בתוך סביבת העבודה שלו הוטמעו סקריפטים קלי משקל, מבוססי פיית'ון, ששימשו כתשתית סמויה להפעלת פקודות, שליטה מרחוק והעברת מידע רגיש.

המערכת פעלה תוך שימוש בטכניקות התחמקות מתקדמות, כולל ניצול פרוטוקול ARP ליצירת פעולות מותנות (טריגרים), תשתית תקשורת מבוססת WebSockets ושליטה באמצעות פונקציות שיתוף המסך של זום – וכל זאת מבלי להפעיל תוכנה זדונית מסורתית. רכיבי השליטה הוסתרו בתוך תהליכי עבודה שגרתיים של מפתח תוכנה, ואפשרו לתוקף לפעול מבלי לעורר את חשד מערכות ההגנה או עמיתיו לעבודה.

"התוקף לא ניצל חולשת קוד, אלא חולשת אמון"

"מדובר בדוגמה חריגה לכך שלעתים האיום הוא לא האקר שתוקף את הארגון מבחוץ, אלא ממש מבפנים", ציין שהם סימון, סמנכ"ל בכיר לשירותי סייבר בסיגניה. הוא הוסיף כי "במקרה זה, התוקף לא ניצל חולשת קוד, אלא חולשת אמון. ההצלחה של המתקפה התבססה על שימוש מושכל בכלים לגיטימיים ובפרוטוקולים שנמצאים מחוץ לפוקוס של מערכות הזיהוי הרגילות".

סימון אמר כי מתקפה זו מדגישה את הצורך בגישה רחבה יותר לאיתור איומים – כזו שכוללת ניטור אנומליות בפרוטוקולי רשת, שימוש לא שגרתי בכלים לגיטימיים והתנהגויות שנראות תקינות על פני השטח, אך מצביעות על פעילות זדונית סמויה.