מחקר: האקרים מצפון קוריאה הפכו בררנים בבחירת הקורבנות

האקרים מצפון קוריאה משתמשים כבר שנים בטקטיקות שונות כדי לבצע מתקפות והונאות סייבר כדי לגנוב כספים. באחרונה הם משתמשים בחברות קש, כדי לפרוץ לעסקים הקשורים למטבעות קריפטו. ולמרות שכמה מהחברות והאתרים המזויפים הללו מצליחים רק לעיתים רחוקות לחמוק מגילוי – בדרך כלל הקישורים באתרים הזדוניים האלה לא עובדים – האקרים מקבוצת לזרוס, או APT38, הפכו באחרונה זהירים הרבה יותר בתחומים אחרים; כך עולה ממחקר חדש של קספרסקי.

על פי החוקרים, ההאקרים החלו לקודד מחדש חלק מהתכניות הזדוניות שלהם ומנגנוני החדרת הנוזקות, בניסיון לצמצם את סיכוייהם להיתפס.

בשנתיים האחרונות חוקרים חשפו כמה מהפעולות של קבוצת לזרוס, שמבוססות על אותן חברות קש. כך, למשל, נחשף אשתקד כי ההאקרים השתמשו בחברה מזויפת, JMT Trading שמה, כדי להתקין דלתות אחוריות ולמשוך כספים לפיונגיאנג. ב-2018, חשפה קספרסקי כי ההאקרים הללו משתמשים בחברה מזויפת אחרת, המכונה Celas Trade Pro, כדי לתקוף אתרים ופלטפורמות להמרת מטבעות קריפטו. בנוסף, הם השתמשו גם באתר מזויף וחברה בשם UnionCryptoTrader.

מעבדת קספרסקי. צילום: BigStock

"בהתקפה אשתקד, עם זאת, חלק מהנוזקות שבעבר שימשו לתקיפות שלא זוהו או יורטו, הותאמו במידה ניכרת עבור מערכת ההפעלה של מק, או חלונות", הסבירו חוקרי קספרסקי, "בחלק מהמקרים הם פיתחו בעצמם נוזקה למק עם מנגנון אימות מובנה, כדי להחדיר נוזקה ישירות מהזיכרון. בגרסת חלונות של הנוזקה, קבוצת לזרוס עדכנה את תהליך ההדבקה הרב-שלבי שלה ושינתה את הנוזקה שהיא מחדירה. גרסת חלונות זו נמסרה לקורבן אחד לפחות אשתקד, באמצעות האתר המזויף wfcwallet[.]Com – המהווה ארנק לגיטימי עבור מטבעות קריפטו לא מוכרים.

חוקרי קספרסקי זיהו כמה קרבנות בבריטניה, פולין, רוסיה וסין, אם כי לא זיהו יעדים ספציפיים.

המטרה: להזרים את כספי הקורבנות אל קופותיה המדולדלות של הדיקטטורה

המתקפות של ההאקרים מצפון קוריאה התמקדו באופן מסורתי בהתחמקות מגילוי, במטרה להזרים את כספי הקורבנות אל קופותיה המדולדלות של הדיקטטורה – המצויה תחת סנקציות כלכליות בינלאומיות קשות. אולם חוקרי קספרסקי גילו כי מעבר לשינוי בטקטיקה כדי לחמוק מגילוי, קבוצת לזרוס הפכה בררנית יותר בבחירת הקורבנות. במתקפה הממוקדת נגד משתמשים בחלונות, למשל, התוקפים כללו מנגנון החדרת נוזקה, שנועד לפעול רק במערכות שנבחרו מראש.

"מיד עם החדירה, הנוזקה מאחזרת את מידע המערכת הבסיסי של הקורבן. אם קוד התגובה משרת C2 הוא 200, הנוזקה מפעילה את המנגנון שלה ומטעינה נוזקה בזיכרון. אבל השיטה הזו תוכננה לפעול רק במערכות שנבחרו מראש", ציינו החוקרים.

הבחירה להפעיל את הנוזקה באופן ספציפי יכולה להצביע על כך שקבוצת לזרוס משתמשת במודיעין שנאסף בעבר, אולי מתקיפות קודמות, כדי למקסם את מאמציה הנוכחיים, העריכו החוקרים, "נראה שהתוקפים רוצים להפעיל את הנוזקה שלהם בזהירות רבה, באופן החומק מגילוי באמצעות פתרונות מבוססי התנהגות".

על פי הערכתם, קבוצת לזרוס העבירה נוזקה ממוקדת כזו באמצעות טלגרם, מכיוון שהיא בוצעה מתיקיית ההורדות של Telegram Messenger. אם כי, הם מודים שמטרת התקיפה – מלבד המניעים הכספיים – אינה ברורה להם לחלוטין. "אנו מאמינים שהפעלת נוזקה בשיטה זו של 'דלת אחורית', משמשת בסופו של דבר לשליטה על הקורבן הנגוע".