צפון קוריאה ממשיכה לתקוף בסייבר, והפעם – חברת תעופה ספרדית

הנה סיפור שאם הוא לא היה עצוב, הוא היה קצת מצחיק, או לפחות השורה התחתונה שלו: האקרים חברי קבוצת לזארוס הצפון קוריאנית התחזו למטא בלינקדאין. העצוב בסיפור הזה הוא שהם תקפו חברת תעופה ספרדית.

כחלק מהמתקפה, שאותה גילו חוקרי חברת אבטחת המידע ESET, הקבוצה הפעילה כמה כלי פריצה, כשהכלי העיקרי היה דלת אחורית שהתגלתה באחרונה וזכתה לכינוי LightlessCan.

ההאקרים חברי לזארוס השיגו גישה ראשונית לרשת החברה, ששמה לא נמסר, בשנה האחרונה, בעקבות קמפיין פישינג ממוקד מוצלח, שבו הם התחזו למגייסי עובדים מטעם מטא – החברה שעומדת מאחורי פייסבוק, אינסטגרם ו-ווטסאפ. לפי חוקרי ESET, המטרה העיקרית של המתקפה הייתה ריגול בסייבר.

"החלק המדאיג ביותר: סוג חדש של כלי תקיפה"

לדברי פיטר קלנאי, חוקר ESET שגילה את המתקפה, "החלק המדאיג ביותר בה הוא סוג חדש של כלי תקיפה, LightlessCan. זהו כלי מורכב ומתפתח, שמייצג רמה גבוהה של תחכום בתכנון ובאופן ההפעלה שלו. הוא מהווה התקדמות משמעותית ביכולות הזדוניות לעומת כלים קודמים לו".

איך המתקפה עבדה? המגייס המתחזה יצר קשר עם הקורבן באמצעות פלטפורמת המסרים המיידיים של לינקדאין, LinkedIn Messaging, ושלח שני אתגרי תכנות הנדרשים לכאורה כחלק מהליך הגיוס. הקורבן הוריד את אתגרי התכנות והפעיל אותם על אחד ממחשבי חברת התעופה. גוף המחקר של ESET הצליח לבנות מחדש את הצעדים לגישה הראשונית ולנתח את מערך הכלים שבהם השתמשו ההאקרים, ועשה זאת בשיתוף פעולה עם אנשי הגנת הסייבר של חברת התעופה שנפגעה. חברי הקבוצה כיוונו את המתקפה לרבים מעובדי החברה.

ההאקרים ביצעו מאמצים כבירים לטשטוש המתקפה שלהם

חברי לזארוס שלחו סוגים שונים של כלי תקיפה למערכות של הקורבנות, כשהבולט שבהם הוא, כאמור, LightlessCan – כלי מתוחכם וחדש, מסוג סוס טרויאני לשליטה מרחוק (RAT). הסוס הטרויאני החדש מנצל לרעה את Windows ומחקה את ההתנהגות של מגוון רחב של פקודות טבעיות של מערכת ההפעלה. כך, הם אפשרו הרצה סמויה של קוד בתוך הסוס הטרויאני עצמו, במקום הפעלה "רועשת" – דרך שורת הפקודה. השינוי הזה נועד להסוות את המתקפה ולהפוך זיהוי וניתוח הפעולות של התוקף למאתגרות יותר, עד כדי מניעתם.

מנגנון נוסף ששימש לצמצום החשיפה הוא השימוש בגדרות ביטחון להפעלה: קבוצת לזארוס וידאה שיהיה אפשר לשחרר את ההצפנה של כלי התקיפה רק על המחשב של הקורבן. גדרות ביטחון להפעלה הן מערך של פרוטוקולים ומנגנונים הגנתיים, שנועדו כדי לוודא את השלמות והחשאיות של כלי התקיפה במהלך ההתקנה וההפעלה שלו – מה שמנע את פענוח ההצפנה על מחשבים שבהם הכלי לא אמור לפעול, כמו מחשבים של חוקרי אבטחה.

הכלי LightlessCan תומך ב-68 פקודות ייחודיות, אך בגרסתו הנוכחית, 1.0, רק 43 מהפקודות האלה משמשות לצורך כלשהו. חוקרי ESET זיהו ארבע שרשראות הפעלה ייחודיות, שמפעילות שלושה סוגים של כלי תקיפה.

קבוצה שפועלת 14 שנים, לפחות

פעילות קבוצת לזארוס, שידועה גם בשם קוברה נסתר (Hidden Cobra), החלה ב-2009, לפחות. החוקרים ציינו שהמגוון, הכמות והחדשנות בהפעלת הכלים הם אלה שמבדלים אותה מקבוצות אחרות. הקבוצה מבצעת את כל שלוש פעולות פשיעת הסייבר העיקריות: ריגול, חבלה ושאיפה לרווח כספי. יש לציין שחברות תעופה הן לא מטרה חריגה לקבוצות APT המקושרות לצפון קוריאה, ובכללן לזארוס.

הקבוצה אחראית לכמה ממתקפות הסייבר המפורסמות בעולם, בהן הפריצה לסוני במחצית העשור הקודם; שוד סייבר של עשרות מיליוני דולרים ב-2016 – שנועד לממן ארוחות שחיתות של דגה ופירות ים ממטבחי עלית בפריז למנהיג המדינה, קים ג'ונג און; מתקפת WannaCryptor (שידועה יותר כמתקפת WannaCry) ב-2017; מתקפות על שרשראות אספקה; וסדרה ארוכה של מתקפות משבשות נגד תשתיות ציבוריות וקריטיות בדרום קוריאה, יריבתה המושבעת של צפון קוריאה – מאז 2011.