קבוצת האקרים מצפון קוריאה ניסתה לגנוב פרטים על החיסון לקורונה

סייבריזן חברת הסייבר ההגנתי הישראלית אשר מגנה על נקודות קצה בארגונים הכריזה היום (שני) כי קבוצת המחקר שלה, "נוקטורנוס", חשפה תשתית תקיפה וריגול חדשה אשר בוצעה על ידי קבוצת תקיפה צפון קוריאנית בשם "קימסוקי". הקבוצה ריגלה אחר ממשלות וגופים פרטיים בארצות הברית, אירופה, יפן, דרום קוריאה ורוסיה. הארגונים אשר תקפה כוללים בין היתר גם חברות פארמה ומחקר אשר עבדו על חיסון לקורונה, מחלקות ביטחון של ממשלות, מועצת הביטחון של האו"ם, עיתונאים וארגונים למען זכויות אדם.

"אנחנו עוקבים בצורה יומיומית אחרי קבוצות התקיפה השונות בעולם ולאחרונה זיהינו פעילות מוגברת בתשתית התקיפה של קימסוקי מה שהוביל אותנו לפתוח בחקירה מאומצת, ולגילוי כלי התקיפה החדשים", מסר אסף דהן ראש קבוצת מחקר איומי סייבר בסייבריזן. "קבוצות תקיפה צפון קוריאניות פועלות גם נגד מטרות ישראליות אך כיוון שהכלים שחשפנו היום חדשים ולא היו ידועים עד כה, היקף הפגיעה הגלובלית עוד טרם נחשף במלואו ואני מאמין כי נמצא את העקבות שלהם ביבשות ומדינות נוספות בקרוב. לקימסוקי יש עבר עשיר של תקיפות סייבר שהחלו עוד בשנת 2012 עם תקיפות אל מול דרום קוריאה. במהלך השנים האחרונות הם הרחיבו את סט היכולות שלהם לכלים מתקדמים ואת מעגל הפעילות שלהם באסיה לשכנות יפן ורוסיה וכן גם לאירופה ולארצות הברית", הוסיף דהן.

• כלי התקיפה הראשון נקרא KGH_SPY ובו קימסוקי השתמשו על מנת להקליט את פעולות המשתמש במחשב, לגנוב סיסמאות ומידע רגיש ולאחר מכן לשלוח את מה שגנב לשרתים מוצפנים של הקבוצה.
• כלי התקיפה השני CSPY Downloader אשר יודע לבצע סט של בדיקות על מחשב הקורבן ומוודא כי "השטח נקי" מפני כלי ניטור וניתוח התקפות סייבר לפני תחילת ביצוע התקיפה ובכך מקטין את הסיכוי לחשיפת מבצעי התקיפה.
• למרות השימוש בכלים מתקדמים, קימסוקי השתמשה בטכניקות פשוטות של הנדסה חברתית
• (Social Engineering) כמו פישינג אימייל עם קבצים מצורפים, כדי לחדור לארגונים ולאחר מכן הם מתקינים את הכלים המתוחכמים לריגול וגניבה של מידע רגיש.

בסייבריזן מסרו כי פלטפורמת ההגנה שלהם יודעת לזהות ולעצור את הכלים שצוינו, אך נכון לכתיבת הדו"ח ולפרסום המחקר רוב כלי האנטי וירוס המסורתיים אינם מזהים תקיפות מתוחכמות מסוג זה, דבר המאפשר לקבוצה הצפון קוריאנית לפעול בצורה כמעט חופשית.