האקרים מצפון קוריאה פרצו לפלטפורמות קריפטו ישראליות – וגנבו עשרות מיליונים

ההאקרים, שמשתייכים לקבוצת לזרוס, ביצעו בחמש השנים האחרונות "בהצלחה גדולה", עשרות מתקפות על פלטפורמות שכאלה, במסגרת קמפיין שנקרא CryptoCore - כך חשפו חוקרי קלירסקיי

תוקף גם את ישראל - בסייבר. קים ג'ונג און, שליט צפון קוריאה. צילום: - Blue House Republic of Korea, מתוך ויקיפדיה

קבוצת ההאקרים הצפון קוריאנית לזרוס ערכה בחמש השנים האחרונות עשרות מתקפות על פלטפורמות קריפטו בבעלות של ישראלים והצליחה לגנוב סכום מצטבר של עשרות מיליוני דולרים – כך לפי מחקר חדש של קלירסקיי הישראלית, שמתפרסם בלעדית כאן, באנשים ומחשבים.

המחקר מעלה כי יש קשר בין הקבוצה לבין תקיפות מתמשכות, יום יומיות, על פלטפורמות קריפטו בבעלות ישראלים. "להערכתנו", כותבים החוקרים, "פלטפורמות הקריפטו הן הגופים המותקפים ביותר כיום במגזר הפיננסי. לא רק ההאקרים של לזרוס מבצעים את התקיפות, אבל הם עושים זאת כבר כמעט חמש שנים ברציפות, עם הצלחות גדולות". שמותיהן של הפלטפרומות שנפלו קורבן לתקיפות של ההאקרים הצפון קוריאנים לא נמסרו.

"ההצלחה של הקבוצה מול פלטפורמות הקריפטו הפחיתה מאוד את הפעילות שלה מול הבנקים", נכתב בדו"ח המחקר. "הבנקים חוו בשנים 2016-18 סדרת תקיפות על מערכות ה-SWIFT שלהם. הסיבה היא שכל הנכסים של חברות אלה מוחזקים בארנקים דיגיטליים, שחלקם מקושרים סביב השעון לאינטרנט. מול הגופים הללו מתבצעים בכל יום כמה ניסיונות תקיפה – החל מפישינג על עובדים ומנהלים, וכלה בניסיונות פריצה לשרתי החברות, ללקוחות ולספקי צד ג' של חברות אלה".

CryptoCore הוא קמפיין תקיפה, שחוקרי קלירסקיי חשפו לפני שלוש שנים. הקמפיין מתמקד בתקיפת בורסות מטבעות דיגיטליים וגניבת ארנקי קריפטו. במהלך הקמפיין הצליחו התוקפים לגנוב ארנקי קריפטו, המכילים עשרות עד מאות מיליוני דולרים. הקמפיין נחקר במקביל על ידי גופי מחקר נוספים, בהם NTT Security. הוא מוכר גם בשמות CryptoMimic, Leery Turtle ו-Dangerous Password. החוקרים הסבירו כי עילת המחקר הנוכחי היא לקשר בין הקמפיין לקבוצת לזרוס הצפון קוריאנית. המחקר כלל כמה סוגי חקירות והשוואות, בין השאר בין אינדיקטורים, כלי תקיפה ומועדי פעילות, לרבות הצלבה עם נתוני המחקרים האחרים שבוצעו על לזרוס.

לפחות 12 שנים של תקיפות

לזרוס מוכרת גם בשמות Cobra Hidden, ZINC, Team Whois, APT38 ועוד. קבוצת התקיפה הצפון קוריאנית פעילה לפחות מאז 2009 ומתמקדת בריגול ובשיבוש, בעיקר נגד שתי היריבות המרות של פיונגיאנג – ארצות הברית ודרום קוריאה, וכן בגניבת כספים, בדגש על מטבעות קריפטו. לפי ה-FBI, הקבוצה שייכת לסוכנות הביון הצפון קוראנית RGB.

ההאקרים השיגו גישה לארנקיo הדיגיטליים של בורסות קריפטו. צילום אילוסטרציה: BigStock

ההאקרים השיגו גישה לארנקיo הדיגיטליים של פלטפורמות קריפטו. צילום אילוסטרציה: BigStock

ביוני האחרון חוקרי קלירסקיי דיווחו על קמפיין CryptoCore, שתוקף חברות ופלטפורמות קריפטו שנמצאות בבעלות ישראלים. הקמפיין הופעל במשך לפחות שלוש שנים גם נגד בורסות מטבעות קריפטו בארצות הברית, אירופה ויפן. נכון למועד הפרסום, החוקרים לא הצליחו למצוא למי לייחס את המתקפות, ו-"ההשערה הראשונית שלנו הייתה שייתכן שהתוקפים שייכים לקבוצת פשיעה רוסית או מזרח אירופית. השוואה שביצענו בין מחקרים אלה לבין הידוע לנו מחקירת קמפיין CryptoCore הצביעה על האפשרות שייתכן שכל המחקרים עוסקים באותו גורם תקיפה". לשם כך, החוקרים ערכו השוואת סקריפטים, השוואת כלי תקיפה, בחינת התנהגות הקבצים, השוואת הדמיון בקטעי הקוד ובחינת ממדים שונים בתקפות, לרבות החתימה – באמצעות חוקי YARA.

"בסבירות בינונית עד גבוהה, מדובר בקמפיין תקיפה בסייבר אחד, שמאחוריו ניצבת קבוצת לזרוס, שפועלת מול גופים פיננסיים בישראל. הקבוצה הצליחה לחדור למאות ארגונים וחברות בכל העולם. החידוש בפרסום הוא שעד היום, לא היה ברור שהקבוצה תוקפת ארגונים פיננסיים בישראל", סיכמו החוקרים.

תגובות

(4)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. נתי ר

    למה אתם לא כותבים איזה גופים ישראלים נפרצו? למה הרשויות בארץ לא שומרות על הכסף של כל הישראלים שסוחרים שם. צריך לדווח על זה לרשויות

  2. WhiteHack

    :) לפחות שם אחד לבורסה קריפטו ישראילית???

  3. רפי גינדי

    איזה הפחדה דבילית. אין שום ערך בכתבה שלא מחדשת כלום, רק עושה פרסום לקלירסקיי

אירועים קרובים