ממשל ארה"ב מזהיר מפני מתקפות האקרים צפון קוריאנים על המגזר הפרטי

הממשל האמריקני הנפיק אתמול (ג') התראה, שלפיה על המגזר הפרטי להיזהר מפעולות פריצה עולמיות, המנוהלות על ידי האקרים המקושרים לממשלת צפון-קוריאה.

את ההתראה הוציאו במשותף ה-FBI, פיקוד הסייבר בצבא ארה"ב הכפוף למחלקת ההגנה ו-CISA, הסוכנות להגנת תשתיות וסייבר שבמחלקה להגנת המולדת. קבוצת ההאקרים, המכונה קימסוקי (Kimsuky), נוטה לבצע חדירות בסייבר לטובת מודיעין וריגול – כנגד מטרות בדרום קוריאה, ביפן ובארה"ב.

קימסוקי נוהגת לנהל קמפיינים של מסע ריגול בסייבר כנגד צוותי חשיבה דרום קוריאניים, כמו גם יעדים הקשורים לסנקציות המופנות כנגד צפון קוריאה, גופים העוסקים בנושאי גרעין וכן נושאים אחרים המשפיעים על המדינה המבודדת בחצי האי. על פי הממשל, כדי לקבל גישה ראשונית לקורבנות, ההאקרים בדרך כלל משתמשים במשלוח מיילים של דיוג-חנית (spearphishing) או "בורות מים" כדי להערים על הקורבנות למסור מידע. "בור מים" היא שיטה להדבקת ארגונים בנוזקה: זו תוזרק אל הקורבן כאשר הוא גולש לאתר האינטרנט שבו משתמש התוקף.

פעולות קבוצת קימסוקי, שידוע עליהן מאז לפחות 2012, "נעשות בהוראת המשטר הצפון קוריאני", על פי הדיווח. חוקרים קשרו בעבר את קימסוקי, המכונה לעיתים גם קבוצת ולווט צ'ולימה (Velvet Chollima), עם צפון קוריאה ומניעים הקשורים למדינה.

בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר לאנשים ומחשבים כי "אנחנו רואים מאמץ צפון קוריאני משמעותי, גלובלי, לתקיפה וריגול  מול מספר רב של מדינות וחברות בעולם. שיטות התקיפה דומות לשיטות התקיפה ולכלים של ארגוני ביון ממדינות אחרות. נראה שיחידות העילית הצפון קוריאניות הצליחו לחדור ולגנוב מידע ממספר רב של חברות. הדרך להתמודד עם תקיפה זו היא דרך פרסום הקמפיין – ובכך לפגוע בכל הכלים ותשתיות התקיפה שלהם".

פיקוד סייבר הודיע, ​​כי הוא מפרסם את הדו"ח על הקבוצה, המתווה את הטקטיקות, הטכניקות והנהלים הנפוצים של קימסוקי. הפרסום נועד להניע ארגונים במגזר הפרטי להגן על רשתותיהם מפני פעולות פריצה של צפון קוריאה.

אף שההתראה מגיעה בסמיכות למועד הבחירות לנשיאות ארה"ב, הקמפיין המתמשך מצד צפון קוריאה אינו קשור, ככל הנראה, לבחירות, העריכו בפיקוד הסייבר.

קורט באומגרטנר, חוקר אבטחה בכיר בקספרסקי, שעוקב אחר קימסוקי מאז 2013, אמר, כי "הקבוצה נותרה פעילה מאוד, אך ייתכן שהיא לא בעלת היכולות הגדולות ביותר בין כלל קבוצות ההאקרים, שחוו התקדמות טכנולוגית. למרות זאת, הם מספקים יכולות 'נאותות' בסייבר".

לפי הערכות גורמים וחוקרים מדרום קוריאה, קימסוקי גם עמדה מאחורי הפעילות בסייבר כנגד מפעילת תחנת הכוח הגרעינית Korea Hydro & Nuclear Power. למרות שפעילות מפעל הגרעין של דרום קוריאה לא נפגעה, הפעולה – שמטרתה גניבת שרטוטים של המפעל והשגת שליטה מרחוק על מחשבי המפעל – עשויה להצביע על מניעים הרסניים יותר בתחום האנרגיה.

בחודשים האחרונים זכתה קימסוקי לתשומת לב בקהילת המחקר, בשל העובדה שכמו האקרים אחרים, היא ניצלה את החששות ואי הוודאות הקשורים למגיפת הקורונה כדי לשלוח מיילים הנושאים את שם הנגיף בכותרת המייל – לטובת איסוף מידע על מחשבי הקורבנות.