מלאך המוות: צפון קוריאה מגדילה את יכולות הסייבר שלה

צפון קוריאה מגדילה את יכולותיה ההתקפיות בסייבר – ומתמקדת, בין השאר בשיפור הפגיעה שלה בארגונים בינלאומיים מתעשיית התעופה והחלל.

בדו"ח מיוחד שהנפיקה FireEye, ענקית האבטחה קובעת כי צפון קוריאה עושה זאת באמצעות קבוצת האקרים חשאית משהו, אך מתוחכמת, העונה לשם מלאך המוות (Reaper). הקבוצה ידועה גם בשם APT37.

על פי הדו"ח, קבוצת ההאקרים משתמשת בנוזקות ובמתקפות יום אפס, על מנת לחדור לרשתות מחשבים, וכיום היא משקפת "איום עקבי ומתמשך", אשר הגדיל באופן דרמטי את טווח הפעילות ההתקפית בסייבר של צפון קוריאה ברחבי העולם. זאת, בהתאם לאינטרסים השונים של ממשלת קוריאה הצפונית. חוקרי ענקית האבטחה ציינו כי קבוצת ההאקרים פעלה בעיקר כנגד מטרות בדרום קוריאה, אולם גם נגד ארגונים ביפן, וייטנאם וארצות במזרח התיכון.

בנוסף למטרות ממשלתיות, הקבוצה פוגעת גם בארגונים תעשייתיים ממגזרים שונים: בתחומי הכימיקלים, צבא והמגזר הביטחוני, אלקטרוניקה, תעשייה אווירית והחלל, עולם כלי הרכב, ארגוני בריאות וייצור. מטרת המתקפות, נכתב בדו"ח, היא לאסוף מידע מודיעיני עבור ממשלת צפון קוריאה.

קבוצת ההאקרים, Reaper, פעילה ככל הנראה מאז 2012. דפוסי הפעולה העיקריים שלה כוללים הנדסה חברתית ופישינג (התחזות) עם מסמכים הקשורים לאיחוד מחדש של חצי האי קוריאני והסנקציות המוטלות על צפון קוריאה. לצד אלה, קובעים החוקרים, הקבוצה נקשרה גם לניצול פגיעויות יום האפס האחרונות של Adobe Flash.

בינואר השנה דווח כי הפגיעות, שמאז כבר תוקנה, נוצלה לביצוע מתקפות נגד דרום קוריאה. במסגרת המתקפות הושתלה הנוזקה DOGCALL, שהיא סוס טרויאני של Windows המותקן כ-"דלת אחורית". הנוזקה נועדה לריגול באמצעות ניטור הקלדות, גניבת צילומי מסך, ומעקב מרחוק.

כך, בשנה שעברה, קבוצת ההאקרים התמקדה בלתקוף חברה במזרח התיכון. החברה נכנסה למיזם משותף עם צפון קוריאה כדי לספק שירותי תקשורת – אבל העסקה לא צלחה. ברגע שפורסם דבר כישלון העסקה, החבר החלה להיות מותקפת בסייבר. על פי החוקרים, "ההאקרים, בשליחות ממשלת צפון קוריאה, רצו לאסוף מידע על שותף עסקי לשעבר".

כדי למנוע את זיהויה, קבוצת ההאקרים עושה שימוש בשרתים שנפגעו בדרום קוריאה, בפלטפורמות להעברת מסרים ובספקיות שירותי ענן.

צפון קוריאה מוכיחה שוב ושוב, סיכמו החוקרים, "כי יש בה נכונות למנף את יכולותיה הקיברנטיות למגוון מטרות, וכי לשם כך, היא לא נרתעת מלחצות קווים אדומים ולהפר נורמות בינלאומיות. קבוצת ההאקרים היא עוד כלי העומד לרשותה בארגז הכלים שלה. אנו צופים ש-APT37 תמונף יותר ויותר לביצוע פעולות בלתי ידועות נוספות, ובאזורים לא מוכרים".

מתקפת הכופרה הגדולה בעולם

צפון קוריאה היא שחקן משמעותי בשוק של התוקפים. אחרי השערות והערכות רבות, בדצמבר האחרון ארצות הברית האשימה את צפון קוריאה כמי שאחראית למתקפת הסייבר הענקית העולמית WannaCry, שפגעה במאות אלפי מחשבים בעולם במאי 2017.

במאי שנה שעברה אירעה מתקפת הכופרה הגדולה בהיסטוריה, שהיורופול (Europol) הגדיר אותה כ-"חסרת תקדים": 300 אלף מחשבים מכ-150 מדינות נפגעו מהמתקפה, שבוצעה באמצעות כלי פריצה של ה-NSA, שנגנבו על ידי קבוצה בשם Shadow Brokers.

ההאקרים נעלו את הגישה למחשבים של קורבנותיהם בדרישה לכופר תמורת שחרור הנעילה, בתשלום בביטקוין – למניעת האיתור של התוקפים. כלי התקיפה של ה-NSA תוכננו ופותחו לצרכי ריגול של סוכנות ההאזנה האמריקנית – המקבילה ליחידה 8200 של ישראל – וההאקרים ביצעו להם התאמות לטובת המתקפות שלהם.

מאות מערכות IT בבתי חולים ברחבי העולם נפגעו מהמתקפה. בבריטניה, ההאקרים נטרלו את המחשבים בעשרות בתי חולים – וגרמו לדחיות ולביטולים של ניתוחים. מהרופאים נמנעה גישה לתיקים רפואיים של מטופלים – ואלה הופנו לבתי חולים חלופיים.

החשדות נגד צפון קוריאה כאחראית למתקפה עלו עוד מההתחלה: כבר כשבוע לאחריה מצאו חוקרי אבטחת מידע עדויות שיכולות לקשר בין המדינה המבודדת ל-WannaCry.

עיקר הטענות נגד צפון קוריאה הוא הקשר שלה עם קבוצת פריצה בשם לזרוס (Lazarus Group), שקשורה לשוד הסייבר מהשנה שעברה, שבו נגנבו 81 מיליון דולר מהבנק המרכזי של בנגלדש, ולמתקפה על סוני (Sony). ממשלת ארצות הברית האשימה את צפון קוריאה בפריצה לסוני וזו, כמובן, הכחישה את הדברים – כפי שעשתה גם במקרה של WannaCry.