היום (רביעי) משרד הביטחון הישראלי התיר לפרסום כי סיכל מתקפת סייבר גדולה נגד תעשיות ביטחוניות מובילות במדינה על ידי מערך סייבר בינלאומי בשם "לזרוס", חוליה המשויכת לממשל הצפון קוריאני ומבצעת משימות תקיפה ברשת מטעם שלטון קים ג'ונג און מזה שנים.
"שיטת הפעולה של לזרוס התגלתה לראשונה לפני כחודשיים במחקר של חברת ESET", מסביר אמיר כרמי ראש תחום הגנה בחברת hackerU solutions בשיחה עם "ישראל היום". "במסגרת ההתקפה, פעילים בלזרוס התחזו לנציגי משאבי אנוש של חברות מוכרות בתחום ה-Aerospace ונעשה שימוש בנוזקות מתוחכמות, כאשר החלק המעניין היה שימוש בהנדסה חברתית באמצעות לינקדאין ובאמצעות פרסום הצעות עבודה, על מנת להעביר נוזקות בצורה לא מחשידה".
"גם הפעם הם טרגטו מטרות מאוד ספציפיות- אנשים בעלי תפקידי מפתח בתעשיות ביטחוניות בישראל באמצעות הצעות עבודה שנשלחו מאותן חברות. באותו מחקר לפני חודשיים, הם פנו לעובדים בתעשיית החלל. הם שלחו הצעות עבודה מפתות שגרמו לחלק מהמטרות שלהם להיכנס איתם למשא ומתן וברגע שהם ביססו את התקשורת איתם, הם החלו לשלוח להם קבצים והציעו להם להעביר את התקשורת לצ'אט של סקייפ", מוסיף כרמי.
לדבריו של כרמי, הקבוצה פעלה בדרכים שונות על מנת לחמוק מאמצעי הגנה. "חלק מהקבצים הועברו ישירות דרך הצ'אט של לינקדאין, חלקם דרך האימייל וחלק דרך OneDrive. הקבצים היו קבצי ארכיון מסוג RAR שמוגנים על ידי סיסמא, מה שמונע מאמצעי ההגנה שסורקים אימיילים והמותקנים על המחשב לפתוח את הקובץ ולאתר את הנוזקה במהלך ההעברה של הקובץ. אמנם אותם בעלי תפקידים שהותקפו הם אנשים עם מודעות רבה לאבטחת מידע והנדסה חברתית, אך קיימת בעיה של מודעות לגבי אבטחת מידע ולסכנות שעלולות להגיע מלינקדאין".
"המקרה מחזק את הצורך של גופי הביטחון והתעשייה הביטחונית לערוך סדנאות של מודעות לאבטחת מידע שמעודכנות לדרכי התקפה עדכניות. מודעות לדרך ההתקפה הזו, שהתגלתה כבר לפני חודשיים, הייתה יכולה למנוע התקפות מהסוג הזה ולמנוע מצב שבו מערכות הגנה של תעשיות ביטחוניות צריכות להיכנס לפעולה", מסכם כרמי.
עידו נאור, מנכ"ל חברת הסייבר Security Joes, מספר בשיחה עם "ישראל היום", כי "לקבוצה יכולות תקיפה רבים המסתעפים לריגול, שיתוף פעולה עם תוכנות כופר, גניבה ממערכות פיננסיות ומטבעות וירטואליים וכלי התקיפה סבוכים ומתוחכמים לחקירה ומעקב".
לדבריו של נאור, זוהי לא פעם ראשונה שקבוצת התקיפה נתפסת בזמן התחזות לפרופילים מזויפים בלינקדאין. "בחודש שעבר, חברת ESET חשדה באותה קבוצה כאשר ניסתה לפתות עובדים ממשרדי הגנה באירופה. ב-2018 ניסתה הקבוצה לחדור לבנק בצ׳ילה באמצעות אותה השיטה גם כן. אנו עוקבים באדיקות אחר לזרוס מזה עשור ומנסים למנוע חדירות לישראל".
"לזרוס התמקדה גם בפריצה למוסדות פיננסיים, כמו למשל הפריצה לבנק בבנגלדש, בה ניסתה הקבוצה לגנוב קרוב למיליארד דולרים. לאחר מכן זיהתה החוליה כי המטבע הווירטואלי, ביטקוין, עלול להניב להם ערך כלכלי רב ומאז יצרו תת קבוצה אשר כל קיומה הוא לשם פריצה לאתרי מסחר ביטקוין. אחת התקיפות הגדולות ביותר ששויכו לקבוצה הייתה הפריצה לחברת ״ביננס״ וגניבה של יותר מ-40 מיליון דולרים", מסכם נאור.
הפעולה המוכרת ביותר של היחידה, וזו שהכניסה אותה לתודעה, התרחשה בשנת 2014 כשפצחנים צפון קוריאנים חדרו לרשת הפנימית של קבוצת "סוני" בגלל הצגתו של שליט צפון קוריאה, קים ג'ונג און, בסרט "הראיון" שהפיקה החברה.
חתימת הסייבר ההתקפית של צפון קוריאה היא מרשימה עוד יותר בהתחשב בעובדה שהמדינה באופן רשמי כלל לא מחוברת לרשת האינטרנט. פיונגיאנג מסתפקת ברשת פנימית המשמשת את המשטר ואת מוסדות הלימוד השונים במדינה, מערכת אליה למעטים בלבד במדינה יש גישה.
עם זאת, על פי פרסום שהופיעה בחודש יוני בעיתון "ביזנס אינסיידר", צפון קוריאה מחזיקה בכוח סייבר המונה לפחות 7,000 לוחמים, כולם משרתים במסגרת הצבא הצפון קוריאני והם מקבלים גישה חופשית ונדירה לרשת האינטרנט. אך לא משטחה של צפון קוריאה עצמה.
על פי פרסומים זרים, רשת הסייבר הצפון קוריאנית פועלת ממדינות כמו סין, רוסיה ואפילו הודו, שם מקבלים הפצחנים הצעירים של פיונגיאנג את הכשרתם, באוניברסיטאות מובילות. הפעילות מחו"ל מאפשרת גם מיסוך של פעולותיה של צפון קוריאה ברשת ופעמים רבות רוסיה או סין מואשמות בפעילות פריצה שמבצעת היחידה הצפון קוריאנית.
בהכנת הידיעה השתתף נטע בר
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו