סוכלה מתקפת סייבר צפון קוריאנית כנגד תעשיות ביטחוניות בישראל

הותר לפרסום: הממונה על הביטחון במערכת הביטחון (המלמ"ב), בשיתוף עם גופים נוספים בקהיליית הביטחון, סיכלו מתקפת סייבר כנגד תעשיות ביטחוניות מובילות במדינה.

ההאקרים במקרה האחרון של ניסיונות התקיפה בישראל, נמסר, השתמשו בטכניקות שונות של "הנדסה חברתית" והתחזות. הם בנו פרופילים מזויפים ברשת לינקדאין (LinkedIn), המשמשת בעיקר לחיפושי עבודה בעולמות ההיי-טק. התוקפים התחזו למנהלים, לבכירים במחלקות משאבי אנוש ולנציגי חברות בינלאומיות, ופנו לעובדי תעשיות ביטחוניות מובילות בישראל, בניסיון לפתח מולם שיח ולפתות אותם עם הצעות עבודה שונות. בתהליך העברת הצעות העבודה ניסו התוקפים להדביק בנוזקות וברוגלות את המחשבים של עובדי התעשיות הישראליות ולחדור לתוך הרשתות של החברות, במטרה לאסוף מידע ביטחוני רגיש. לצורך התקיפה, התוקפים אף השתמשו  באתרים לגיטימיים של חברות ותעשיות אחרות ללא ידיעתן.

כאמור, ניסיונות התקיפה זוהו בזמן אמת וסוכלו על ידי היחידה הטכנולוגית של מלמ"ב במשרד הביטחון ועל ידי מערכות ההגנה בסייבר של התעשיות הביטחוניות, מבלי שנגרם נזק. במקביל, פתח המלמ"ב בחקירה טכנולוגית מתקדמת ופעילות מבצעית בשטח, בשיתוף עם  התעשיות הביטחוניות וגופים נוספים בקהיליית הביטחון.

"המלמ"ב פועל וימשיך לפעול במטרה לסכל ניסיונות לחדור לרשתות המחשב של התעשיות הביטחוניות ולפגוע בעליונות הטכנולוגית של מדינת ישראל", נמסר ממשרד הביטחון.

ניסו לתקוף תעשיות ביטחוניות בישראל. האקרים מצפון קוריאה. צילום אילוסטרציה: BigStock צילום: BigStock

האם קבוצת לזרוס ניסתה להכות שנית?

מחקירת הפרשה עולה כי את ניסיון התקיפה ביצעו האקרים חברי קבוצת לזרוס. זו קשורה לשוד הסייבר משנת 2016, שבו נגנבו 81 מיליון דולר מהבנק המרכזי בבנגלדש – Bangladesh Bank – ולמתקפה על סוני (Sony) בעשור הקודם. ממשלת ארצות הברית האשימה את צפון קוריאה בפריצה לסוני וזו, כמובן, הכחישה את הדברים.

באוקטובר 2017 פורסם כי צפון קוריאה עמדה מאחורי מתקפת הסייבר WannaCry שהסבה נזקה למערכות ה-IT של שירותי הבריאות של בריטניה, כך על פי ממשלת האי.

בחודש מאי 2017 אירעה מתקפת הכופרה הגדולה בהיסטוריה: 200 אלף מחשבים מכ-150 מדינות נפגעו מהמתקפה, שבוצעה באמצעות כלי פריצה של ה-NSA, שנגנבו. מערכת הבריאות בבריטניה היא שסבלה את הפגיעה הקשה ביותר. המתקפה בוצעה באמצעות תוכנת פריצה שהודלפה ברשת על ידי קבוצה בשם Shadow Brokers. היא הפיצה בשנה שעברה כלי פריצה שנגנבו מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית. המתקפה רחבת ההיקף בוצעה באמצעות נעילה של הגישה למחשבים בדרישה לכופר תמורת שחרור הנעילה, בתשלום בביטקוין – למניעת האיתור של ההאקרים. כלי התקיפה של ה-NSA תוכננו ופותחו לצורכי ריגול של סוכנות ההאזנה האמריקנית – המקבילה ליחידה 8200 של ישראל – וההאקרים ביצעו להם התאמות לטובת המתקפות שלהם. הכופרה היא ממשפחת WannaCry. מאות מערכות IT בבתי חולים ברחבי העולם נפגעו מהמתקפה. מתקפת הסייבר פגעה בארגונים בכל בריטניה ובהרבה מדינות בעולם גם כן. היורופול (Europol) מסר כי ההיקף של המתקפה "הוא חסר תקדים".

הודעת לינקדאין מזויפת, שהייתה חלק מניסיון התקיפה. צילום מסך

בחודש יוני חשפו חוקרי ESET מחקר חדש: הצעת עבודה תמימה בלינקדאין מאפשרת להאקרים גישה לכספים ומידע סודי. החוקרים גילו שימוש לא שגרתי בדיוג ממוקד (Spear phishing) בשילוב נוזקות כדי לתקוף חברות תעופה, חלל וצבאות. ההאקרים עשו זאת תחת הרדאר, והשיגו מידע פיננסי וריגלו.

המתקפה, שקיבלה את השם Operation In(ter)ception, מתבססת על דגימה זדונית Inception.dll מהחודשים ספטמבר עד דצמבר 2019.

"ההתקפות החלו עם הודעת לינקדאין והצעת עבודה אמינה למדי, לכאורה מחברה ידועה במגזר רלוונטי. פרופיל הלינקדאין כמובן היה מזויף והקבצים שנשלחו במסגרת ההתקשרות היו זדוניים", ציין דומיניק ברייטנכר, חוקר הנוזקות של ESET.

הקבצים הועברו ישירות דרך הלינקדאין או באמצעות מייל המכיל קישור ל-OneDrive, שבשבילו יצרו התוקפים חשבונות מייל המתאימים לפרסומות המזויפות שלהם בלינקדאין.

ברגע שהנמען פתח את הקובץ הוצג מסמך PDF תמים לכאורה עם מידע על השכר המוצע לעבודה המזויפת. בדרך זו נפרסו הנוזקות על המחשב של הקורבן והתוקפים השיגו דריסת רגל ראשונית למערכת. בשלב הבא, התוקפים ביצעו מתקפות ממוקדות נגד חברות תעופה וחלל אירופיות. בין הכלים שבהם הם השתמשו הייתה נוזקה רב שלבית בהתאמה אישית, שהתחזתה לתוכנה לגיטימית, וגרסאות שונות של כלי פיתוח. כמו כן, הם השתמשו לרעה בכלי השירות המותקנים של Windows לביצוע פעולות נוספות.

"המתקפות שחקרנו הראו את כל סימני הריגול, עם מספר רמזים המצביעים על קשר אפשרי לקבוצת ההאקרים הידועה לשמצה לזרוס. עם זאת, לא ניתוח הנוזקות ולא החקירה עצמה אפשרו לנו לקבל תובנות לאילו קבצים כיוונו התוקפים", הוסיף ברייטנכר.

בנוסף לפעולות הריגול, חוקרי ESET מצאו ראיות לכך שהתוקפים ניסו להשתמש בחשבונות שנפרצו כדי להפיק כסף מחברות אחרות. בין המיילים של הקורבנות, התוקפים מצאו תקשורת בין הקורבן ללקוח בקשר לחשבונית שלא נסגרה. הם עקבו אחר השיחה וקראו ללקוח לשלם את החשבונית – כמובן לחשבון בנק משלהם. למרבה המזל, הלקוח של חברת הקורבן החל לחשוד ופנה אל הקורבן לסיוע, והכשיל את ניסיון התוקפים לבצע תקיפה של דוא"ל עסקי.