נמצא קשר בין צפון קוריאה ומתקפת הסייבר הענקית

ייתכן כי מאחורי מתקפת הסייבר הענקית הבינלאומית אשר פרצה בסוף השבוע האחרון עומדת קבוצת ההאקרים לזרוס (Lazarus Group) – קבוצה שזוהתה בעבר כמקושרת עם צפון קוריאה, כך מסרו אתמול (ב') סימנטק (Symantec) וקספרסקי (Kaspersky Lab).

"זהו הרמז הטוב ביותר שהשגנו עד כה לגבי מקורות הכופרה WannaCry", אמר קורט באומגרטנר, חוקר בכיר בקספרסקי.

שתי החברות אמרו כי מוקדם לדעת אם צפון קוריאה אכן מעורבת במתקפת הסייבר הענקית, בהתבסס על הממצאים אותם פרסם ניל מהטה, חוקר אבטחה בגוגל (Google). המתקפות, אשר הואטו אתמול (ב'), הן מהמהירות שבין מסעות הסחיטה שהופיעו אי פעם.

שתי חברות האבטחה אמרו שהן צריכות ללמוד את הקוד של הכופרה יותר לעומק, וביקשו סיוע מגורמים אחרים בלימוד ובסיוע בחקירה. זאת, בשל העובדה כי פעמים רבות, האקרים עושים שימוש חוזר בחלקים משורות הקוד המרכיבות את הנוזקות.

המחקר ילווה מקרוב על ידי גורמי אכיפת החוק ברחבי העולם, לרבות אלה שבוושינגטון, שם אמר אתמול (ב') יועץ של הנשיא דונלד טראמפ להגנת המולדת כי כל האפשרויות פתוחות לגבי זהותם של התוקפים: מדינות זרות, כמו גם פושעים מקוונים.

גורמי ביטחון בארצות הברית ובאיחוד האירופי אמרו כי מוקדם לומר מי עומד מאחורי המתקפות, אך לא שללו את צפון קוריאה כחשודה במעשים.

האם מדובר באותם האקרים?

לעומת קספרסקי וסימנטק, מסר ג'ון מילר, חוקר ב-FireEye, כי "קווי הדמיון שאנו רואים בין נוזקות הקשורות לקבוצת לזרוס לבין WannaCry אינם ייחודיים מספיק כדי לקבוע שמדובר באותם האקרים".

רשת ההאקרים הצפון קוריאנית לזרוס ביצעה מתקפות נגד 31 בנקים ברחבי העולם. קבוצה זו קושרה גם למתקפת הסייבר הגדולה שאירעה לפני כמה שנים נגד סוני (Sony). לזרוס גם קושרה למתקפת הסייבר הענקית שאירעה בשנה שעברה, באמצעות ניצול לרעה של SWIFT – רשת הקישוריות בין בנקים בעולם.

ההאקרים תקפו את הבנק המרכזי של ארצות הברית – הפדרל ריזרב (Federal Reserve) – במטרה לגנוב מיליארד דולר מהבנק המרכזי של בנגלדש. בפועל, הם הצליחו לגנוב "רק" 81 מיליון דולר, וממשלות ארצות הברית ובנגלדש הצליחו, במאמץ משותף, להחזיר 15 מיליון מהם.

כזכור, בסוף השבוע האחרון האקרים פרצו לכ-300 אלף מחשבים ביותר מ-150 מדינות בעולם. עד כה לא עלה מידע ודאי המצביע על זהותם של ההאקרים. המתקפה בוצעה באמצעות תוכנת פריצה שהודלפה ברשת על ידי קבוצה בשם Shadow Brokers.

היא הפיצה בשנה שעברה כלי פריצה שנגנבו מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית. המתקפה רחבת ההיקף בוצעה באמצעות נעילה של הגישה למחשבים בדרישה לכופר של 300-600 דולרים תמורת שחרור הנעילה, בתשלום בביטקוין – למניעת האיתור של ההאקרים.

רק לבכות

כלי התקיפה של ה-NSA תוכננו ופותחו לצורכי ריגול של סוכנות ההאזנה האמריקנית – המקבילה ליחידה 8200 של ישראל – וההאקרים ביצעו להם התאמות לטובת המתקפות שלהם.

הכופרה היא ממשפחת WannaCry. הכופרה מגיעה למחשבי המשתמשים באמצעות הודעת דוא"ל עם קובץ מצורף. פתיחת הקובץ על ידי המשתמש, מפעילה את תהליך ההתקנה וההתפשטות של הכופרה.

מאות מערכות IT בבתי חולים ברחבי העולם נפגעו מהמתקפה. בבריטניה ההאקרים ניטרלו את המחשבים בעשרות בתי החולים – וגרמו לדחיות ולביטולים של ניתוחים. אלפי חולים נפגעו מהמתקפה באנגליה ובסקוטלנד – בעשרות בתי חולים.

לצד הפגיעה בבתי חולים בבריטניה, יותר מ-1,000 מחשבים ברוסיה, לרבות של משרד הפנים הרוסי, נפגעו מהמתקפה, כמו גם טלפוניקה (Telefónica), ענקית הטלקום הספרדית, FedEx, חברת השילוח האמריקנית, הבנק הספרדי BBVA הספרדי, מערכת הרכבות בכמה ערים בגרמניה, אוניברסיטאות, חלק מהסניפים של פירמת רואי החשבון KPMG – וארגונים נוספים בעולם.