שוב: האקרים צפון קוריאנים תקפו חוקרי אבטחת מידע

האקרים מצפון קוריאה, שכבר תקפו בינואר השנה חוקרי אבטחה, חזרו במתקפה חדשה. ההאקרים עשו זאת באמצעות חשבונות מזויפים של טוויטר ולינקדאין.

על פי חוקרים מקבוצת ניתוח האיומים של גוגל (Google), TAG, ההאקרים הקימו אתר חדש, עם פרופילי מדיה חברתית, המשויכים לחברה מזויפת, בשם "SecuriElite" במחצית מרץ השנה. בדף הבית, האתר הציג את עצמו כ"חברת אבטחת מידע התקפית, הממוקמת בטורקיה, והמציעה ביצוע של מבדקי חדירה, הערכות על אבטחת תוכנה וחשיפת פגיעויות". בתחתית דף הבית של האתר היה קישור למפתח הציבורי של ההאקרים. בתחילת השנה החוקרים דיווחו כי המפתח, שהיה באירוח בבלוג של התוקפים, שימש כפיתוי לבקר באתר, שבו הם המתינו להפעלת דפדפן.

חוקרי גוגל אמרו, כי לא ראו שהאתר המזויף החדש משרת תוכן זדוני, אך הוסיפו אותו לרשימות שלהם כאמצעי זהירות בטרם גלישה. ההאקרים הקימו כמה חשבונות מדיה חברתית, כדי להצטייר בעיני הקורבנות כחוקרי אבטחה ולעניין מקצועני אבטחה בניצול חולשות ובאבטחה התקפית. החוקרים אמרו כי זחהו בלינקדאין שני חשבונות שהתחזו כאלה המגייסים מקצועני אבטחה לחברות אנטי וירוס ואבטחת מידע. הם העבירו את המידע על פרופילים אלה לחברות המדיה החברתית, כדי שאלו ינקטו בפעולות מתאימות.

אדם וויידמן, חוקר בקבוצת ניתוח האיומים של גוגל, אמר, כי צוותו מאמין כי "שחקני איום אלה מסוכנים, וככל הנראה, בהתבסס על פעילותם, יש ברשותם נוזקות יום אפס רבות. אנו ממליצים לכל מי שמגלה פגיעות בכרום לדווח עליה לתוכנית תגמול הפגיעויות של כרום".

בינואר השנה, חוקרים מקבוצת ניתוח האיומים של גוגל זיהו קמפיין תקיפה מתמשך בסייבר, אשר כוון נגד חוקרי אבטחה העובדים על מחקר ופיתוח של פגיעויות בחברות ובארגונים שונים. קמפיין זה נוהל על ידי לזרוס, קבוצת APT הקשורה קשר הדוק למשטר בצפון קוריאה ופועלת בחסותו. במתקפה הקודמת, ההאקרים הקימו בלוג מחקר ופרופילים רבים בטוויטר כדי ליצור קשר עם יעדים פוטנציאליים. זאת, כדי לבנות לעצמם מיצוב אמין ולהתחבר לחוקרי אבטחה. האקרים אלה השתמשו בפרופילי טוויטר כדי לפרסם קישורים לבלוג שלהם ולסרטונים על פועלם לכאורה, ולהשתמש בהם להפצת הודעות מחשבונות אחרים שבשליטתם.

בדצמבר האחרון גילו חוקרי קספרסקי גילו שני אירועי APT, מתקפה מתמשכת ועקבית, כנגד גופים הקשורים למחקר נגיף הקורונה. האחד הוא משרד בריאות ממשלתי והשני הוא חברת תרופות, המפתחת, מייצרת ומשווקת את החיסונים נגד נגיף הקורונה. את התקיפות שייכו מומחי קספרסקי לקבוצת לזרוס הידועה לשמצה. המתקפה הראשונה, כנגד משרד בריאות ממשלתי, כללה ניצול פרצת אבטחה בשני שרתי Windows במשרד – באמצעות נוזקה בשם wAgent. הנוזקה שבה בוצעה התקיפה הנוכחית עושה שימוש בסכימה שקושרה בעבר לנוזקה שבה עשתה שימוש קבוצת לזרוס. המתקפה השנייה הופנתה כנגד יצרנית תרופות שפיתחה חיסון נגד נגיף הקורונה, והיא מורשה לייצר ולשווק אותו. ניצול הפרצה והמתקפה בעקבותיו נעשו ב-25 בספטמבר אשתקד, והתוקפים השיגו גישה לרשת הארגונית של הקורבן. בתקיפה זו ביצעו התוקפים שימוש בנוזקה מסוג Bookcode – עוד נוזקה שהייתה בשימוש בעבר של קבוצת ההאקרים לזרוס. נוזקה מסוג זה מסוגלת לפתוח לתוקפים דלת אחורית לרשת של הקורבן בלא שהוא מבחין בכך.

באוגוסט האחרון פורסם כי לזרוס, קבוצת האקרים מצפון קוריאה, ניסתה לתקוף בסייבר תעשיות ביטחוניות בישראל – מתקפה שהמלמ"ב במשרד הביטחון סיכל. חוקרי קלירסקיי הישראלית עוקבים אחרי קבוצת ההאקרים הזאת מזה זמן. לפי דו"ח המחקר, "מערך זה פועל כמה חודשים בישראל ובמדינות רבות נוספות בעולם והצליח, להערכתנו, להדביק ולגנוב מידע מעשרות רבות של חברות וארגונים. היעדים המרכזיים כוללים חברות ביטחוניות, חברות ממשלתיות ועובדים מאותן חברות". ב-2019 חשפו חוקרי קלירסקיי עדות ראשונה לתקיפה של הקבוצה בישראל, שבמסגרתה ניסתה הקבוצה לחדור לרשת של חברה ביטחונית ישראלית.

"לזרוס", ציינו המומחים, "היא קבוצת APT צפון קוריאנית, שמוכרת גם בתור APT37 או Cobra Hidden, ויש שתי תת קבוצות שמקושרות אליה – Bluenoroff ו-Andariel. הן התפרסמו ב-2014 בפריצה לסוני, שהייתה נקמה על הפקת סרט הקומדיה "ראיון סוף", שצפון קוריאה ראתה בו השפלה ואיום כלפי המנהיג שלה, קים ג'ונג און. ב-2017 הקבוצה ביצעה את אחת ממתקפות הכופרה וההרס המשמעותיות ביותר אי פעם בעולם – WannaCry, שהשביתה עשרות חברות בעולם וגרמה לנזקים ישירים ועקיפים במיליארדי דולרים. WannaCry הבהירה את גודל האיום של צפון קוריאה במרחב הסייבר".

לפי החוקרים, "עיקר הפעילות של לזרוס הוא במישור הכלכלי. הקבוצה מגויסת למאמץ של השלטון הצפון קוריאני לעקוף את הסנקציות המוטלות עליה בעיקר על ידי ארצות הברית והאו"ם מזה שנים רבות. לזרוס עמדה מאחורי כמה ניסיונות גניבת כסף המשמעותיים ביותר במרחב הסייבר, והמפורסם שבהם הוא התקיפה נגד הבנק המרכזי של בנגלדש, שבמסגרתה היא ניסתה לגנוב 951 מיליון דולר והצליחה לגנוב כ-81 מיליון. התקיפה נעצרה עקב טעות אנוש של אחד מהתוקפים".