עשתה קופה: האקרים מצפון קוריאה גנבו 400 מיליון דולר בקריפטו ב-2021

התוקפים התמקדו בפעילותם בשנה החולפת בבתי השקעות ובבורסות מטבעות כדי לגנוב כספים, שיגיעו בסופו של דבר לקופתו של קים ג'ונג-און, המנהיג העליון של קוריאה הצפונית

ממוקדים בגניבת מטבעות קריפטו שמגיעים לקופתו  של קים ג'ונג-און.

האקרים שלוחי הממשל בצפון קוריאה גנבו כמעט 400 מיליון דולר במטבעות דיגיטליים בשנה החולפת, כך לפי דו"ח חדש שפורסם בסוף השבוע. מטרת הפריצות בסייבר: לגנוב כמה שיותר כסף ולהלבין כמה שיותר מטבעות קריפטוגרפיים.

לפי Chainalysis – המפתחת פלטפורמת נתונים מבוססת בלוקצ'יין, התוקפים התמקדו בפעילותם בשנה החולפת בבתי השקעות ובבורסות מטבעות כדי לגנוב כספים, שיגיעו בסופו של דבר לקופתו של קים ג'ונג-און, המנהיג העליון של קוריאה הצפונית. לאחר מכן הם השתמשו בתוכנת ערבול כדי לבצע מיקרו-תשלומים רבים לארנקים חדשים, לפני שאיגדו את כלל הכספים – אותם העבירו, שוב, לחשבון חדש, שאותו רוקנו לאחר מכן.

אף שבעבר, מטבע הקריפטו המועדף על התוקפים שלוחי הממשל במדינה המבודדת היה ביטקוין – הרי שבשנה החולפת תפס את מקומו את'ר. זהו מטבע של את'ריום, פלטפורמת קוד פתוח מבוססת בלוקצ'יין. את'ר היווה 58% מכלל המטבעות הקריפטוגרפיים ששימשו לגניבות הדיגיטליות ואילו הביטקוין – רק 20% מכלל המטבעות שנגנבו. הנתון משקף צניחה של יותר מ-50% מאז 2019. אחד ההסברים שהחוקרים נתנו למגמה זו היא, שהביטקוין הפך להיות מטבע יקר ערך, שבעליו דואגים לו יותר.

"דפוסי פעולה אלה, של גניבות בסייבר", סיכמו החוקרים, "משרטטים דיוקן של אומה אשר תומכת בפשע של שוד מטבעות קריפטוגרפיים בקנה מידה עצום. ההאקרים שלוחי הממשל של צפון קוריאה המשיכו, גם בשנה החולפת, לפעול באופן שיטתי ומתוחכם. הם עשו זאת באמצעות קבוצת לזרוס, או על ידי סינדיקטים פליליים אחרים. כך, צפון קוריאה חיזקה את מי שמהווה את האיום המתמשך והמתקדם על תעשיית מטבעות הקריפטו ב-2021".

בנובמבר האחרון פרסמנו כי אחת מקבוצות הריגול בסייבר הצפון קוריאניות – TA406 – העלתה הילוך, וביצעה בשנה החולפת פעילות "'עמוסה' ופורייה" – כך לפי חוקרי פרופפוינט. הם מעריכים שהפעילות מהווה חלק מארגון הידוע יותר בשם קימסוקי (Kimsuky), הפועל בחסות המשטר הצפון קוריאני. קימסוקי הוא מעין "ארגון גג" של כמה קבוצות האקרים, שמתמקדות בפעילויות שונות: יש קבוצות שגונבות כספים לטובת מימון המשטר הצפון קוריאני ויש כאלה שעוסקות בפעולות ביון מתקדמות, שמטרתן לאסוף מידע שקשור למדיניות חוץ וביטחון לאומי, לצד מעקב וריגול אחרי עיתונאים, פוליטיקאים, מתנגדי משטר ופעילי זכויות אדם.

במאי 2021 פרסמנו, כי קבוצת ההאקרים הצפון קוריאנית לזרוס ערכה בחמש השנים האחרונות עשרות מתקפות על פלטפורמות קריפטו בבעלות של ישראלים והצליחה לגנוב סכום מצטבר של עשרות מיליוני דולרים – כך לפי קלירסקיי הישראלית.

"ההצלחה של הקבוצה מול פלטפורמות הקריפטו הפחיתה מאוד את הפעילות שלה מול הבנקים", נכתב בדו"ח המחקר. "הבנקים חוו בשנים 2016-18 סדרת תקיפות על מערכות ה-SWIFT שלהם. הסיבה היא, שכל הנכסים של חברות אלה מוחזקים בארנקים דיגיטליים, שחלקם מקושרים סביב השעון לאינטרנט. מול הגופים הללו מתבצעים בכל יום כמה ניסיונות תקיפה – החל מפישינג על עובדים ומנהלים, וכלה בניסיונות פריצה לשרתי החברות, ללקוחות ולספקי צד ג' של חברות אלה".

לזרוס מוכרת גם בשמות Cobra Hidden, ZINC, Team Whois, APT38 ועוד. קבוצת התקיפה הצפון קוריאנית פעילה לפחות מאז 2009 ומתמקדת בריגול ובשיבוש, בעיקר נגד שתי היריבות המרות של פיונגיאנג – ארצות הברית ודרום קוריאה, וכן בגניבת כספים, בדגש על מטבעות קריפטו. לפי ה-FBI, הקבוצה שייכת לסוכנות הביון הצפון קוראנית RGB.

היסטוריה של פריצות ממניע כספי

מחקר של פייראיי שפורסם בסוף 2018 העלה, כי קבוצת ההאקרים APT38 הצפון קוריאנית, ניסתה לגנוב יותר מ-1.1 מיליארד דולר, ובפועל – הצליחה לגנוב 100 מיליון דולר. לפי החוקרים, "מדובר בקבוצת פריצה נפרדת לחלוטין, הפועלת בכוחות עצמה ובעלת סדר יום נפרד משל רוב קבוצת לזרוס". העילה להקמת APT38, הסבירו, היא הסנקציות הכלכליות שהאו"ם הטיל על צפון קוריאה לאחר סדרה של ניסויים גרעיניים לא מורשים שבוצעו ב-2013. בשל הפחתת הכנסות המדינה, צפון קוריאה פנתה לקבוצות הפריצה הצבאיות שלה לעזרה ב"גיוס" כספים ממקורות חיצוניים בשיטות לא מקובלות. אלה הסתמכו על פריצה לבנקים, למוסדות פיננסיים ולבורסות של מטבעות קריפטו. מיקום היעד לא היה חשוב – היו פריצות בכל העולם: פולין, מלזיה, וייטנאם ועוד.

בפברואר 2014 החלה הפעולה הראשונה הידועה שבוצעה על ידי APT38. בדצמבר 2015 היה ניסיון לשדוד את  TPBank. בינואר 2016 הקבוצה תקפה כמה בנקים בינלאומיים במקביל. בפברואר 2016 היא תקפה את הבנק המרכזי בבנגלדש באמצעות מערכת הסליקה הבינלאומית (SWIFT). באוקטובר 2016 החלה סדרת התקפות מתוזמנות על אתרי ממשלה ומדיה. במרץ 2017 אסרה SWIFT על כל הבנקים הצפון קוריאניים לפעול תחתיה, בהמשך לסנקציות האו"ם. בספטמבר 2017, כמה בנקים סינים הגבילו את הפעילות הפיננסית של ארגונים ואנשים פרטיים מצפון קוריאה. באוקטובר 2017 ביצעה הקבוצה שוד בבנק הבינלאומי בטייוואן, תוך שימוש בהונאת ATM. בינואר 2018 היא ניסתה לשדוד את בנק  Bancomext במקסיקו. במאי אותה שנה היא שדדה את Banco de Chile.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים