קים ג'ונג און לא מרפה: ההאקרים שלו תוקפים ארגונים ביטחוניים

מתקפת סייבר חדשה ולא מוכרת התגלתה מבית היוצר של לאזרוס, קבוצת התקיפה הצפון קוריאנית הפורה ביותר. מתחילת 2020 תקפה הקבוצה ארגוני תעשייה ביטחונית באמצעות פרצת דלת אחורית מתוחכמת – ש"מטפסת" במעלה שרשרת ההרשאות הארגונית ואוספת מידע רגיש; כך לפי חוקרי קספרסקי.

לאזרוס פעילה מאז 2009 לפחות והייתה מעורבת במתקפות סייבר בקנה מידה גדול, במתקפות כופרה ואפילו התקפות על בורסות של מטבעות קריפטוגרפיים. בעוד שבשנים האחרונות התמקדו חברי הקבוצה במוסדות פיננסיים, מאז תחילת 2020 הם החליטו להוסיף את תעשיית הביטחון ל"בנק" המטרות שלהם.

חוקרי קספרסקי זיהו ראשונים את המתקפות החדשות הללו כשנקראו לייעץ כצוות תגובה לארגון שחווה מתקפת סייבר משמעותית. הם גילו שהארגון נפל קורבן לפרצת דלת אחורית שהייתה מותאמת באופן מיוחד והקנתה לתוקפים שליטה מלאה על התקנים בארגון. הפרצה, המכונה ThreatNeedle – חודרת לתוך מערכות, "מטפסת" במעלה שרשרת ההרשאות הארגונית ואוספת מידע סודי. ארגונים מכ-12 מדינות הותקפו כבר בדרך זו.

הפעולה הראשונה בתקיפה מתרחשת באמצעות פישינג: היעדים מקבלים הודעות דוא"ל המכילות צרופה של מסמך Word עם קוד זדוני, או קישור לקובץ וורד הנמצא על שרתי החברה. ככלל, ההודעות נחזות להיות כאלו שמקורן במרכזים רפואיים מוכרים ומכובדים, וברצונם לשלוח עדכון דחוף לארגון בקשר למגיפת הקורונה.

לאחר שהיעד פותח את המסמך עם הקוד הזדוני, התוכנה חודרת למערכת. ThreatNeedle שייכת למשפחת נוזקות המכונה Manuscrypt , שמופעלת על ידי חברי לאזרוס ונעשה בה שימוש למתקפות על בורסות קריפטו. לאחר שהנוזקה מותקנת במערכת היא משיגה שליטה מלאה על ההתקן של היעד ויכולה לבצע שינויים משמעותיים – מביצוע פקודות ועד שינוי קבצים.

אחת הטכניקות המעניינות ביותר במתקפה של ThreatNeedle היא היכולת לגנוב נתונים הן מרשתות IT ארגוניות המחוברות לאינטרנט והן מרשתות מוגבלות של מפעל – כאלו שמכילות נכסים קריטיים ומחשבים עם נתונים רגישים מאוד ובלא גישה לאינטרנט. בדרך כלל, מדיניות של ארגונים אמורה למנוע מעבר של נתונים בין שתי הרשתות הללו, אך מתירה זאת רק למנהלי הרשתות, לצורכי תחזוקה שוטפת. תוקפי לאזרוס משיגים שליטה על תחנות עבודה והרשאות של מנהלים ואז פותחים דלת אחורית, שבאמצעותה הם תוקפים את הרשת המוגבלת כדי לגנוב ממנה נתונים חסויים.

"לאזרוס הייתה השחקן הפעיל ביותר ב-2020 וזה לא צפוי להשתנות בזמן הקרוב. כבר בינואר השנה גוגל דיווחה שלזארוס משתמשת באותה פרצה לתקוף חוקרי אבטחה. אנו צופים לראות בעתיד יותר שימוש ב-ThreatNeedle", אמר סיאנגסו פארק, חוקר אבטחה בכיר בצוות המחקר והניתוח העולמי של קספרסקי.

"לאזרוס אינה רק הקבוצה הפורה ביותר, אלא גם מהמתוחכמות ביותר. לא רק שהם מצליחים להתגבר על הפרדת הרשתות, אלא הם ערכו מחקר מקיף ליצירת דוא"ל פישינג מותאם וייחודי, ובנו כלים מותאמים לחילוץ המידע הגנוב לשרת מרוחק. בימים שבהם ארגונים עדיין עובדים מרחוק ולכן הם חשופים ופגיעים יותר, חשוב שהם ינקטו אמצעי זהירות נוספים כדי להגן מפני התקפות מתקדמות מסוג זה", הוסיף ויאצ'סלב קופיטסב, מומחה אבטחה בענקית האבטחה הרוסית.