נתפסו על חם: הצפון קוריאנים ניסו לגנוב מטבעות קריפטו

חוקרי קספרסקי חשפו באחרונה את AppleJeus – מבצע זדוני של קבוצת ההאקרים הצפון קוריאנית לזארוס אשר נועד לתקוף מסחר במטבעות קריפטוגרפיים ויישומים בתחום.

על פי צוות המחקר והניתוח הבינלאומי של קספרסקי, GReAT, התגלתה פעילות לא שגרתית של תוקפים אשר חדרו לרשת של חברת מטבעות קריפטוגרפיים אשר ממוקמת במזרח אסיה. הם עשו זאת באמצעות שימוש בתוכנת מסחר אשר שימשה כסוס טרויאני במטרה לגנוב את המטבעות הדיגיטליים.

לדברי ויטאלי קמלוט, מנהל GReAT, התקפה זו על מהלך המסחר במטבעות הקריפטוגרפיים לא גרמה בסופו של דבר הפסדים כספיים. הוא ציין כי "הבחנו בעניין הולך וגובר של קבוצת לזארוס בשווקים של מטבעות קריפטו בתחילת שנת 2017 כאשר תוכנת הכרייה Monero הותקנה על אחד השרתים שלהם על ידי מפעיל מטעם לזארוס. מאז הבחנו כמה פעמים שהם מכוונים לפגוע במסחר במטבעות קריפטו במקביל לפעילותם נגד מוסדות פיננסים".

קמלוט הוסיף כי "הם פיתחו נוזקה, הפוגעת במשתמשי מערכת ההפעלה macOS בנוסף למשתמשי Windows. הם אף הקימו חברת תוכנה מזוייפת לחלוטין ומוצר תוכנה על מנת שיוכלו להעביר את הנוזקה הזו מבלי שתתגלה על ידי פתרונות אבטחה מידע. מדובר בהשקעה משמעותית".

"נראה שהם רואים פוטנציאל רווח גדול במבצע הזה ולכן בוודאות נוכל לצפות למקרים נוספים מסוג זה בעתיד הקרוב", אמר.

הוא סיים באומרו כי "מקרה זה מהווה קריאת השכמה עבור משתמשי macOS, בעיקר אם הם משתמשים במחשבי המקינטוש שלהם על מנת לרכוש מטבעות קריפטו".

סדרה של תקיפות סייבר

צוות האבטחה של קספרסקי ציין עוד כי מקרה זה התרחש לאחר שעובד הוריד יישום הקשור למטבעות הקריפטו מאתר שנראה זהה בדיוק לאתר חברה העוסקת במסחר קריפטו.  העדכון הזדוני מתקין סוס טרויאני הידוע בשם Fallchill המספק להאקרים גישה בלתי מוגבלת לרשת של המחשב החשוף כאשר הוא מאפשר להאקרים לגנוב מידע רגיש או לשתול וירוסים נצלניים אחרים.

לאורך השנים קושרה קבוצת לזארוס לסדרה של תקיפות סייבר. אחת התקיפות המאורגנות ביותר התרחשה בפברואר 2016 כאשר האקרים ניסו לגנוב 101 מיליון דולר מחשבון הבנק המרכזי של בנגלדש שנוהל בבנק הפדרלי של ניו יורק. רק טעות כתיב גרמה לבנקים להבין שהם נתונים תחת מתקפה.

עוד קושרה הקבוצה הצפון קוריאנית למתקפת הכופרה הגדולה בהיסטוריה. במאי 2017 נפגעו כ-200 אלף מחשבים מכ-150 מדינות מהמתקפה.

זו בוצעה באמצעות תוכנת פריצה שהודלפה ברשת על ידי קבוצה בשם Shadow Brokers. היא הפיצה ב-2016 כלי פריצה שנגנבו מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית. כלי התקיפה של הסוכנות תוכננו ופותחו לצורכי ריגול של סוכנות ההאזנה האמריקנית, המקבילה ליחידה 8200 של ישראל, וההאקרים ביצעו להם התאמות לטובת המתקפות שלהם. הכופרה הייתה ממשפחת WannaCry. מערכת הבריאות בבריטניה סבלה פגיעה קשה ובנקים רוסיים חוו זאת גם הם.