APT38 הצפון קוריאנית אחראית לגנבה של יותר מ-100 מיליון דולרים
על פי FireEye, האו"ם הטיל על צפון קוריאה ב-2013 סנקציות, בשל ניסויים גרעיניים לא מורשים ● בגלל הפחתת הכנסות המדינה פנתה צפון קוריאה לקבוצות הפריצה הצבאיות שלה לעזרה ב"גיוס" כספים ממקורות חיצוניים
הערכות שמרניות טוענות כי קבוצת ההאקרים APT38 הצפון קוריאנית, ניסתה לגנוב יותר מ-1.1 מיליארד דולרים, ובפועל – הצליחה לגנוב 100 מיליון דולרים, כך על פי מחקר חדש של FireEye.
על פי ענקית האבטחה האמריקנית, ישנה הבחנה ברורה וגלויה בין יחידות ההאקרים של צפון קוריאה, כאשר ישנן שתי קבוצות המתמחות בריגול פוליטי, TEMP.Hermit ו-Lazarus Group, והשלישית – שמתמקדת רק בפשיעת סייבר כלכלית, שמטרתה שוד של בנקים וגופים פיננסיים – APT38.
שתי הקבוצות הראשונות נותחו על ידי תעשיות הביטחון הפרטית וסוכנויות ממשלתיות, אך מעט מאוד ידוע על הקבוצה השלישית. כך, רבים מכלי הפריצה הפיננסיים של הקבוצה השלישית נכללו לעתים קרובות בדו"חות קבוצת לזרוס. אלא, קובעים החוקרים, "ניתוח מעלה תמונה ברורה, של קבוצת פריצה נפרדת לחלוטין, הפועלת בכוחות עצמה ובעלת סדר יום נפרד משל רוב קבוצת לזרוס".
קבוצה זו אינה פועלת באסטרטגיה מהירה המיועדת "לרסק ולתפוס", האופיינית לקבוצות פשע קיברנטי נוספות, אלא בסבלנות המאפיינת תוקפים מטעם מדינה, שיש להם את הזמן והכלים כדי לחכות למועד המושלם למתקפה.
על פי FireEye, סוני והפצת הסרט "הראיון", הלועג למנהיג הצפון קוריאני, אינם העילה להקמת APT38, אלא הסנקציות הכלכליות שהאו"ם הטיל על צפון קוריאה לאחר סדרה של ניסויים גרעיניים לא מורשים שבוצעו ב-2013. בשל הפחתת הכנסות המדינה, צפון קוריאה פנתה לקבוצות הפריצה הצבאיות שלה לעזרה ב"גיוס" כספים ממקורות חיצוניים בשיטות לא מקובלות. אלה הסתמכו על פריצה לבנקים, מוסדות פיננסיים, ובורסות למטבעות קריפטו. מיקום היעד לא היה חשוב – היו פריצות בכל העולם: פולין, מלזיה, וייטנאם ועוד.
דרכי הפעולה של APT38. צילום מתוך הדו"ח של FireEye
APT38 – בפעולה מאז ראשית 2014
הדו"ח, APT38 Un usual Suspects, מפורטים ציר זמן ואבני דרך חשובות בהתפתחות הקבוצה: בפברואר 2014 החלה הפעולה הראשונה הידועה שבוצעה על ידי APT38. בדצמבר 2015 היה ניסיון לשדוד את TPBank. בינואר 2016 הקבוצה תקפה כמה בנקים בינלאומיים במקביל. בפברואר 2016 היא תקפה את הבנק המרכזי בבנגלדש באמצעות מערכת הסליקה הבינלאומית (SWIFT). באוקטובר 2016 החלה סדרת התקפות מתוזמנות על אתרי הממשלה ומדיה. במרץ 2017, אסרה SWIFT, על כל הבנקים הצפון קוריאנים לפעול תחתיה, בהמשך לסנקציות האו"ם. בספטמבר 2017, כמה בנקים סינים הגבילו את הפעילות הפיננסית של ארגונים ואנשים פרטיים מצפון קוריאה. באוקטובר 2017, ביצעה הקבוצה שוד בבנק הבינלאומי בטייוואן, תוך שימוש בהונאת ATM. בינואר 2018 היא ניסתה לשדוד את בנק Bancomext במקסיקו. במאי השנה היא שדדה את Banco de Chile.
"כל ניסיונות השוד הבנקאיים, ומעשי השוד שהצליחו, מאופיינים בדפוס פעולה מורכב, שמזכיר דפוסים קודמים שנראו בתקיפות של מדינות – ולא בתקיפות של פושעי סייבר", נכתב בדו"ח, "המאפיין העיקרי של הקבוצה הוא סבלנותה ונכונותה להמתין חודשים, אם לא שנים, כדי לבצע תקיפה. במשך הזמן הזה ביצעו התוקפים מעקב מעמיק אחר המטרה הנפרצת, או שהם יצרו כלים ספציפיים לתקיפה. APT38 משקיעה מאמצים רבים כדי להכיר את סביבת המטרות שלה ולהבטיח פריסה מוצלחת של כלי התקיפה".
דרכי הפעולה של APT38. צילום מתוך הדו"ח של FireEye
הורסת את מה שפגעה בו כטקטיקה
לפי FireEye, "קבוצת APT38 עושה כל שנדרש כדי לוודא שהם אינם מזוהים בזמן שהם עורכים את הסיור הפנימי שלהם. בממוצע, APT38 נוהגת להישאר ברשת המטרה שלה כ-155 ימים. הזמן הארוך ביותר שנמדד היה כמעט שנתיים, 678 ימים".
מאפיין נוסף של APT38 מבדל אותה מתוקפים אחרים: היא הרסה ראיות ועקבות לתקיפה כשנשקפה סכנה שתיתפס, או לאחר תקיפה, כטקטיקת הסחה. כשהתוקפים חשבו שהשאירו עקבות רבים מדי, הם לא טרחו לנקות את הלוגים של כל מחשב, אלא לעתים הטמיעו נוזקות הדואגות לפירמוט הדיסקים, או השתילו כופרה שנועלת את המחשבים. יש מי שסבור כי הדבר נעשה בכוונה, לשלוח את החוקרים למקומות לא נכונים, טקטיקה שכמעט עבדה במקרים מסוימים.
"אנו מאמינים שפעילות APT38 תמשיך בעתיד", כותבים מומחי FireEye, "בפרט תקיפות SWIFT, כי רבות מהתקיפות סוכלו בשנים האחרונות. ההאקרים ייאלצו לפתח טקטיקות חדשות כדי לשדוד כספים, במיוחד אם מצבה הפיננסי של קוריאה הצפונית ימשיך להידרדר".
תגובות
(0)