אין בושה: האקרים צפון קוריאנים התחזו לחוקרי אבטחה

האקרים מצפון קוריאה התחזו למגייסי עובדים בארגונים ממגוון תעשיות והציעו לקורבנות הצעות למשרות מדהימות בחברות גדולות, עם משכורות ענק. בין השאר, ההאקרים התחזו לחוקרי אבטחה וניסו לגייס חוקרי אבטחה ליפול בפח, כך לפי דו"ח חדש של מנדיאנט (Mandiant) מבית גוגל.

לפי החוקרים, בעבר, מסעות שכאלה נערכו בעיקר באמצעות מיילים, אבל כעת ההאקרים הצפון קוריאנים העבירו את ניסיונות ההתחזות שלהם ללינקדאין ול-ווטסאפ.

דפוס הפעולה של ההאקרים, ציינו החוקרים, היה על ידי בניית פרופילים אמינים בפלטפורמת המדיה החברתית לקריירה, לינקדאין. שם הם פנו לקורבנותיהם עם הצעות עבודה מזויפות, תוך שהם משכנעים אותם להעביר את השיחה לווטסאפ. לאחר שהקורבן עבר לווטסאפ, הם תקפו אותו בנוזקה ממוקדת. לפי החוקרים, ההאקרים יצרו תוכנית מתוחכמת, המצליחה להתמקד בחוקרי אבטחת מידע.

מייקל ברנהארט, אנליסט ראשי במנדיאנט, אמר כי "שחקן האיום הצפון קוריאני הזה הוא אחת הקבוצות היותר מיומנות שיוצאות מהמדינה הסגורה הזו". הוא הוסיף כי על מנת להתמקד בחוקרי אבטחה, חברי הקבוצה פרסו מגוון כלי תקיפה חדשים.

קבוצת ההאקרים מצפון קוריאה. לזרוס. צילום: אילוסטרציה. BigStock

הפושעים – חלק מקבוצת לזרוס

הקבוצה קיבלה מהחוקרים את השמות UNC2970 TEMP.Hermit והיא קשורה, או מהווה חלק מקבוצת לזרוס הידועה לשמצה. החוקרים ציינו כי חבריה הצליחו לבנות "מערך של חשבונות לינקדאין בעלי מבנה מיוחד, המבוסס על משתמשים לגיטימיים, אשר מעוצבים היטב, יוצרים תחושת אמינות מקצועיות ורצינות. זאת, על מנת ליצור תחושת קרבה ולהגדיל את הסבירות לשיחה ולקשר עם הקורבנות".

כאשר התוקפים היו מצליחים להעביר את השיחה מלינקדאין לווטסאפ, הם המשיכו לקיים עם הקורבנות קשר, בטרם משלוח הנוזקה המסתתרת בפישינג, תחת מסווה של תיאור תפקיד, "והם אפילו ביקשו לעתים מהקורבנות צילומי מסך לצורכי מעקב ואימות לכאורה". הנוזקה הוטמעה בעיקר בצורה של מסמכי וורד, מותאמים אישית והיא הייתה מופעל מרחוק.

החוקרים ציינו כי ההאקרים חילקו את אופן פעולתם לפי המטרה של המסע, כאשר חלק מחבריה עסקו בריגול, בעוד שגורמים אחרים בקבוצה היו עסוקים בפשיעה פיננסית. החוקרים ציינו כי ככלל, חברי הקבוצה עסקו באיסוף מודיעין.

לפי החוקרים, "הקמפיינים הקודמים התמקדו בעיקר בארגונים מהתעשיות הביטחוניות, מהמדיה ומהטכנולוגיה. המסע האחרון הזה, אשר כוון לחוקרי אבטחה, מרמז אולי על שינוי באסטרטגיה של ההאקרים, או על הרחבת הפעילות שלהם". החוקרים סיכמו באומרם כי שינוי אופן התקיפה במהלך המחצית השנייה של 2022 מצביע על כך שהתקפות מבוססות דוא"ל הופכות קשות יותר לביצוע".

מבצע משרת חלומות

באוגוסט 2020 פרסמנו כי לזרוס, קבוצת האקרים מצפון קוריאה, ניסתה לתקוף בסייבר תעשיות ביטחוניות בישראל – מתקפה שהמלמ"ב במשרד הביטחון סיכל.

חוקרי קלירסקיי (ClearSky) הישראלית כינו את פעילות הקבוצה הזו 'מבצע משרת חלומות' – Dream Job. "מערך זה פועל כמה חודשים בישראל ובמדינות רבות נוספות בעולם והצליח, להערכתנו, להדביק ולגנוב מידע מעשרות רבות של חברות וארגונים", כתבו החוקרים. "היעדים המרכזיים כוללים חברות ביטחוניות, חברות ממשלתיות ועובדים מאותן חברות". במסגרת הקמפיין, הצליחה קבוצת התקיפה לשטות במותקפים באמצעות הצעה של משרת חלומות שנשלחה לעובדי אותם ארגונים.

משרת החלומות נשלחה, כביכול, מחברות התעופה והביטחון הבולטות ביותר בארצות הברית, ובהן לוקהיד מרטין, בואינג ו-BAE. "ההתחזות לחברות אלה הקלה מאוד על ההדבקה בנוזקה והחדירה למערכות המחשוב של היעדים המותקפים באמצעות הנדסה חברתית, שכללה איסוף מודיעין, הקמת פרופילים מתחזים בלינקדאין, משלוח מיילים לתיבות דואר אישיות של היעדים, וקיום דיאלוג מתמשך עם היעד המותקף – כולל שיחות ישירות בטלפון ושיחות באמצעות ווטסאפ", ציינו חוקרי קלירסקיי. "לאחר ההדבקה, פעלו התוקפים להשגת מודיעין על החברה ועל ההתנהלות הפיננסית שלה, כדי גם לגנוב כסף ממנה. המתווה הכפול ייחודי לצפון קוריאה, שמפעילה יחידות מודיעין שעוסקות גם בריגול וגם בגניבת כספים עבור המדינה".

"השימוש בהתחזות למנהלי גיוס ופנייה לעובדים והצעת משרות קוסמות נפוץ בקרב קבוצות תקיפה מדינתיות המפעילות שיטות הנדסה חברתית", נכתב בדו"ח. "לזרוס מפעילה מתחילת השנה מערך המתמקד בגיוס ופיתוי עובדים למשרות קוסמות. פניה יזומה ליעד המותקף עם הצעה מפתה מקנה לתוקפים כמה יתרונות, ביניהם הסתרת התקיפה באמתלה של הצורך בדיסקרטיות – וכך לעקוף את מנגנוני האבטחה של הארגון".