האקרים צפון קוריאנים משתמשים בכרום כדי לרגל אחרי חשבונות ג'ימייל
על פי חוקרי סייבר, ההאקרים, חברי קבוצת SharpTongue, חודרת לדפדפנים, בעיקר לכרום, כדי לרגל עובדי חברות שעובדים על נושאים שקשורים לצפון קוריאה
חוקרי אבטחת מידע זיהו באחרונה פעילות חדשה של שחקן איומים ותיק: קבוצת האקרים המזוהה עם צפון קוריאה זוהתה מטמיעה באופן נרחב נוזקות בדפדפני אינטרנט מבוססי כרום.
החוקרים, אנשי חברת הסייבר וולקסיטי, שזיהו את פעילות ההאקרים, כינו את הקבוצה "חדת לשון", SharpTongue – אף על פי שהיא מוכרת כ-Kimsuky. החוקרים ציינו כי הם צפו בהאקרים חברי הקבוצה מכוונים את המתקפות שלהם נגד עובדים עבור ארגונים בארצות הברית, אירופה ודרום קוריאה. ייעוד המתקפות החדשות, העריכו, הוא לפגוע באנשים ובחברות שעובדים על נושאים הקשורים לצפון קוריאה, סוגיות גרעין, מערכות נשק ועניינים אחרים המהווים עניין אסטרטגי לשלטון בפיונגיאנג.
לפי המחקר החדש, "בעוד מערכת כלי התקיפה והפריצה של חדת לשון מתועדת היטב באופן פומבי, הרי שמאז ספטמבר 2021 התחלנו לצפות במשפחת נוזקות לא מתועדות ששימשה את חברי הקבוצה, המכונות Sharpext". הם הסבירו כי משפחת הנוזקות החדשה שונה ממתקפות שתועדו בעבר, אשר נעשו על ידי ההאקרים חברי Kimsuky, בכך שהיא לא מנסה לגנוב שמות משתמש וסיסמאות. "במקום זאת, הנוזקה מחלצת נתונים באופן ישיר מחשבונות המייל של הקורבנות, בזמן שהם גולשים", אמרו. לפי החוקרים, מאז שהם גילו את הנוזקה החדשה, היא הספיקה להתפתח, וכעת היא כבר בגרסה 3.0.
גרסאות ראשונות של Sharpext תמכו רק בכרום, הדפדפן של גוגל, בעוד שהגרסה האחרונה תומכת גם באדג' של מיקרוסופט וב-Whale – דפדפן מבוסס כרום שמשתמשים בו כמעט אך ורק בדרום קוריאה.
טקטיקת ההפעלה של הנוזקה, הסבירו חוקרי וולקסיטי, מבוססת על כך שהתוקפים מחלצים תחילה באופן ידני קבצים הנדרשים להתקנת התוסף מתחנת העבודה הנגועה. לאחר מכן, Sharpext מותקנת ידנית על ידי סקריפט שנכתב על ידי התוקף. "בדרך זו", הסבירו, "המתקפה מוסתרת מספק המייל – מה שהופך את הזיהוי למאתגר מאוד".
קבוצה עם היסטוריה עשירה של מתקפות
לקבוצת Kimsuky יש היסטוריה עשירה של מתקפות סייבר, המתועדות מאז 2012 – אז עיקר התקיפות כוון אל דרום קוריאה. מאז הם הרחיבו את מערך היכולות שלהם, עם הפעלה של כלים מתקדמים והרחבת יעדי המתקפות.
בעבר פורסם כי ההאקרים חברי הקבוצה ריגלו אחרי ממשלות וגופים פרטיים בארצות הברית, אירופה, יפן, רוסיה וכמובן, דרום קוריאה. הארגונים שהקבוצה תקפה הם, בין היתר, חברות פארמה ומחקר שעבדו על חיסון לקורונה, משרדי וגופי ביטחון של מדינות, מועצת הביטחון של האו"ם, עיתונאים וארגונים למען זכויות אדם.
הצפון קוריאנים השתמשו כבר בעבר בכלים חדשים, בעלי יכולות מתקדמות, שלא נראו קודם לכן, ביניהם הקלטת פעולות המשתמש במחשב, על מנת לגנוב סיסמאות ומידע רגיש ולאחר מכן לשלוח את המידע הגנוב לשרתים מוצפנים של הקבוצה. למרות השימוש בכלים מתקדמים, חברי Kimsuky השתמשו בטכניקות פשוטות של הנדסה חברתית כדי לחדור לארגונים, כמו פישינג.
מומחים ציינו כי המשטר הצפון קוריאני מפעיל כמה קבוצות תקיפה שונות, לרבות כאלה שגונבות מיליונים רבים של דולרים, במטרה לממן את פעילותו. Kimsuky, לעומתן, עוסקת בפעולות ריגול מתקדמות לאיסוף מידע בנושאי מדיניות חוץ וביטחון לאומי, לצד ריגול אחרי עיתונאים, פוליטיקאים, מתנגדי משטר ופעילי זכויות אדם.
תגובות
(0)