שוב: לוחמי הסייבר של צפון קוריאה בשטח – והעולם במתח

אחת מקבוצות הריגול בסייבר הצפון קוריאניות – TA406 – העלתה הילוך, וביצעה השנה פעילות "'עמוסה' ופורייה" – כך לפי חוקרי פרופפוינט, בדו"ח שפרסמו באחרונה. בעבר, ההאקרים חברי הקבוצה היו ידועים ככאלה שתוקפים צוותי חשיבה, קבוצות הסברה, עיתונאים וגופים אחרים הקשורים ליריביה של פיונגיאנג ברחבי העולם.

הפעולה המוגברת כוללת שיגור מתקפות כמעט שבועיות, ביניהן שני קמפיינים שלא דווחו בעבר. חוקרי פרופוינט בחנו לעומק את פעילות ההאקרים של TA406, שהם מעריכים שהיא מהווה חלק מארגון הידוע יותר בשם קימסוקי (Kimsuky), שפועל בחסות המשטר הצפון קוריאני. מחקרים קודמים אודות קימסוקי העלו שמדובר במעין "ארגון גג" של כמה קבוצות האקרים, שמתמקדות בפעילויות שונות: יש קבוצות שגונבות כספים לטובת מימון המשטר הצפון קוריאני ויש כאלה שעוסקות בפעולות ביון מתקדמות, שמטרתן לאסוף מידע שקשור למדיניות חוץ וביטחון לאומי, לצד מעקב וריגול אחרי עיתונאים, פוליטיקאים, מתנגדי משטר ופעילי זכויות אדם.

עבר עשיר של תקיפות סייבר

לקימסוקי יש עבר עשיר של תקיפות סייבר, שהחלו כבר ב-2012 עם קמפיינים נגד גופים וארגונים מדרום קוריאה. בשנים האחרונות חברי הארגון הרחיבו את מערך היכולות שלהם, עם כלי תקיפה מתקדמים בסייבר, ועם הפניית המתקפות לארגונים במדינות נוספות בעולם – ביפן, ברוסיה ובמדינות שכנות שלה באסיה, כמו גם באירופה ובארצות הברית.

לפי החוקרים, ההאקרים חברי TA406 מכוונים את מתקפותיהם לגופי מחקר, חינוך, ממשל, תקשורת וארגונים אחרים – לטובת גניבת אישורי גישה. הפעילויות האחרות של הקבוצה כוללות פשעים פיננסיים, סחיטה על רקע מיני ושימוש מוגבר בנוזקות. הם ציינו שהקמפיינים של הקבוצה היו מועטים בנפחם עד תחילת ינואר האחרון, אולם מאז ועד ליוני השנה "הקבוצה השיקה קמפיינים (לתקיפה בסייבר – י"ה) כמעט מדי שבוע".

גניבת קבצים במסווה של כתבה עיתונאית "לגיטימית"

הקמפיין הראשון שנחשף, שלא דווח בעבר, נערך במרץ השנה. הוא כלל משלוח מייל, לכאורה מאת צ'אד או'קרול, מומחה לצפון קוריאה ומנכ"ל קוריאה ריסק – חברת ייעוץ וניתוח המתמקדת בנושאים צפון קוריאניים. המייל הכיל קישור ששלח את הקורבן הנמען לדומיין שבשליטת הקבוצה, שבו פורסמה כתבה חדשותית לגיטימית למראה על ניסויי הטילים של צפון קוריאה, שנערכו באותו החודש. כניסה לקישור גם הביאה להורדה של קובץ לביצוע הורדות (גניבת קבצים) משרת שנשלט על ידי TA406.

חוקרי פרופפוינט ציינו שהסתמכות על אתר שיש בו כתבת חדשות לגיטימית למראה, שמתארחת בדומיין שנשלט על ידי קבוצת ההאקרים, היא טקטיקה שכבר נעשה בה שימוש על ידי האקרים מצפון קוריאה: הדבר אירע כאשר התוקפים רצו להטמיע כלי לניהול מרחוק בשם KONNI, והם עשו זאת יום לאחר ניסוי טילים שערך המשטר בפיונגיאנג ב-2017.

גם הקמפיין השני, שנערך ביוני השנה, התיימר להגיע מאו'קרול. המייל הזה הכיל צרופה בדמות קובץ HTML, שנדמתה להיות תצוגה מקדימה של מאמר. אם לחצו עליו, הקובץ המצורף הציג הודעת שגיאה מזויפת עם לחצן לשמירת המסמך. במקרה שהקורבן הוריד את המסמך, הוא קיבל קובץ וורד זדוני, שבסופו של דבר הובילו לכך שהתוקפים יכולים היו לאסוף "מידע נרחב" על המכשיר של הקורבן המותקף.

כמו כן, התוקפים השתמשו ב-Windows Keylogger, שאותו כינו החוקרים "YoreKey", וייתכן שהם ניצלו את הכלי למטרות רווח כספי, עם אספקת "שירות", לכאורה, בשם "Deioncube". השירות פותח בשנה שעברה ו-"הציע" את היכולת "לפענח את הקבצים המוצפנים עם IonCube בקלות. IonCube היא תוכנה שמקודדת סקריפטים של PHP. לא ברור אם השירות אכן עבד, כתבו החוקרים.

בפרופפוינט ציינו שהדומיין שמפרסם את השירות הצפון קוריאני נרשם בכתובת המייל donaldxxxtrump [@] yandex.ru, ששימשה גם לרישום של כמה קמפיינים ל-"איסוף" אישורי גישה ונוזקות במהלך השנה.