חמישית מהתקפות הסייבר של קוריאה הצפונית - מבוצעות מהודו
עמי רוחקס דומבה
| 13/11/2017
http://www.rodong.rep.kp/ko/index.php?strPageID=SF01_02_02&newsID=2017-10-29-0001_photo
לפי מחקרים מהחודשים האחרונים של קספרסקי ו-Recorded Future כחמישית מהתקפות הסייבר של קוריאה הצפונית בוצעו מתשתיות בהודו.
"נתונים וניתוח אלה מראים כי יש נוכחות פיזית ווירטואלית משמעותית במספר מדינות ברחבי העולם - מדינות שבהן צפון קוריאנים צפויים לעסוק בפעילות סייבר ופעילות פלילית. מדינות אלה כוללות את הודו, מלזיה, ניו זילנד, נפאל, קניה, מוזמביק ואינדונזיה", כותבים ב-Recorded Future . לפי המחקר לצפ"ק יש גם נוכחות בסין בתחום הסייבר.
"ברור כי לצפון קוריאה יש נוכחות פיזית ווירטואלית רחבה בהודו. דפוסי הפעילות מצביעים על כך שלצפון קוריאה יש סטודנטים בלפחות שבע אוניברסיטאות ברחבי המדינה וחלקם עשויים לעבוד עם כמה מכוני מחקר ומחלקות ממשלתיות".
לאור הגילויים, כותב Prabha Rao ממכון המחקר ההודי IDSA: "האבטחה של נתוני ה - UIDAI שלנו, המקושרת לכל הפעילות הבנקאית והפיננסית, נמצאת בסימן שאלה, עם דליפות תקופתיות. העוצמה שהפגינה צפ"ק בפריצה לרשתות צבאיות בדרום קוריאה היא עניין של אי-שקט רציני, במיוחד משום שהאפשרות של כמה האקרים כאלה הפועלים על פי פקודה סינית או אפילו פקיסטנית אינה יכולה להיחשב בלתי סבירה. ההרתעה הקיברנטית שלנו דורשת מהפך דחוף. סוכנויות הביטחון שלנו לא הצליחו לאתר פעילויות זדוניות זדוניות עד שהדגישו אותן חברת Future Record, חברת אבטחה סייברית אמריקנית", כותב ראו באתר dailypioneer .
נקודה נוספת שצפה בהקשר ההודי קשורה לשימוש הבלתי חוקי בשרתי סימים במדינה. אתר thehindu חושף כי מדובר באתגר מורכב עבור שירותי הביטחון ההודים. שרתי סימים (SIM boxes) מאפשרים לפושעים, טרוריסטים ושירותי ביון זרים להשתמש בתשתית המדינה לצורך הסוואה של פעילותם (מבצעי פולס-פלאג).
מדובר בשרת המכיל עד 64 כרטיסי סים המחובר לתשתית VOIP ומאפשר ביצוע שיחות ממנו. מבחינה טכנית, חיבור VOIP הוא תשתית נתונים אשר מתנהגת כמו תשתית טלפוניה רגילה. זאת , למרות שברשת האינטרנט היא נראית כמו תעבורת נתונים רגילה.
"Flashers, התקנים שיכולים לשנות IMEI (זהות בינלאומית של ציוד נייד) משמשים להפוך טלפונים סלולריים גנובים לבלתי ניתנים לאיתור, ותיבות ה-SIM מאפשרות הקמת מרכזיות טלפון בלתי חוקיות כדי לגרוף רווחים ולגרום הפסדים מאסיביים לממשלה. בחודש אוגוסט השנה, המשטרה במומבאי פשטה על שתי מרכזיות כאלו באזורי Shagaji Nagar וברדלס במזרח מומבאי, ועצרה ארבעה נאשמים שהפעילו 14 תיבות SIM", נכתב בכתבה.
"כל שרת SIM יכול להכיל עד 32 כרטיסי SIM אשר מאפשרים שיחות בינלאומיות. אדם בדובאי יכול להתקשר למספר מקומי מדובאי, אשר ינותב למספר בהודו ולאחר מכן לנמען השיחה המיועד. בדרך זו, המתקשר נמנע מתעריף בינלאומי אשר גורם לאובדן הכנסות לממשלה. גם אם מפעילי שרתי ה-SIM ישלמו 60% מהתעריף, הם עושים מליונים בחודש", אמר קצין משטרה שלקח חלק בחקירה.
"החקירות לתוך השרת הפרוץ בברדלס גילו כי כל כרטיס ה- SIM ניתב אלפי שיחות מדי יום ממדינות שונות באסיה. הנאשם שהפעיל את השרת במחנה ברדלס היה מפצל את השלל עם עמיתו בדובאי, ועשה מליונים מדי חודש. הוא עשה כל כך הרבה כסף שהוא מחפש להשקיע אותו בעסק לגיטימי והוא עומד לבקש רישיון של ספק שירותי אינטרנט.
הנציב המשותף למשטרה (פשע) סנג'אי סקסנה מסביר: "קופסאות ה- SIM בשני המקרים במזרח מומבאי נרכשו מסין. תיבות ה- SIM ניתנות להברחה בקלות. אלא אם כן יש לנו מידע ספציפי, ליירט אותן כמעט בלתי אפשרי. רק כאשר מישהו נתפס באמצעות אותם מכשירים אנחנו נוקטים פעולה".
מחלקת התקשורת, אשר יש לה את המשאבים לפקח על תעבורת הסלולר, בודקת בקביעות תנועה כבדה מכרטיס SIM אחד על מנת לזהות שרתים כאלה. מידע על כרטיסי SIM כאלה מסופק לרשויות אכיפת החוק.
לא רק פשע. גם טרור וביון
לפי הפרסום, בחודש יוני השנה, יחידת המשטרה נגד טרור, שפעלה על פי מידע של יחידת המודיעין הצבאי בג'אמו בקשמיר, פשטה על שלוש תחנות טלפון בלתי חוקיות בלטור. סוכנים של שירות הביון הפקיסטני חשודים שקיבלו הוראות מהמפעילים שלהם מעבר לגבול באמצעות שיחות המנותבות באמצעות מרכזיות אלה.
קצין הודי הוסיף: "גם אם אנחנו תופסים שרת כזה ומקבלים ראיות של שיחות שנותבו למדינות עוינות, זיהוי המתקשרים הוא אתגר. מאות כרטיסי SIM נשרפים על ידי מחבלים על בסיס יומי, הודות לזמינות של כרטיסי ה- SIM ללא אימות מספיק".
הפרסומים לגבי הודו הם לא היחידים. מחקר של גוגל בהקשר התקפות פישינג שפורסם בשבוע האחרון מראה כי חלק ניכר מהתקפות אלו מגיע מניגריה. האם זה אומר שניגרים מבצעים את ההתקפות הללו, או שמא האקרים ממדינות אחרות מנצלים את התשתית הפרוצה בניגריה להפעיל מבצעי תקיפה בסייבר?
אין ספק כי הודו, ניגריה או כל מדינה אחרת שמופיעה במחקר של גוגל או Recorded Future היא חלק משרשרת התקיפה. בסופו של יום האקרים בוחרים את המדינות בהן האכיפה בסייבר הכי חלשה, ובהן הם מקימים את תשתית התקיפה שלהם. כאשר המדינה מתחילה לעשות משהו בנידון, הם עוברים הלאה. למדינה אחרת. מקרים אלו גם מעלים, פעם נוספת, את הטענה כי בסייבר קשה מאד ליחס תקיפה למדינה זו או אחרת.
http://www.rodong.rep.kp/ko/index.php?strPageID=SF01_02_02&newsID=2017-10-29-0001_photo
לפי מחקרים מהחודשים האחרונים של קספרסקי ו-Recorded Future כחמישית מהתקפות הסייבר של קוריאה הצפונית בוצעו מתשתיות בהודו.
"נתונים וניתוח אלה מראים כי יש נוכחות פיזית ווירטואלית משמעותית במספר מדינות ברחבי העולם - מדינות שבהן צפון קוריאנים צפויים לעסוק בפעילות סייבר ופעילות פלילית. מדינות אלה כוללות את הודו, מלזיה, ניו זילנד, נפאל, קניה, מוזמביק ואינדונזיה", כותבים ב-Recorded Future . לפי המחקר לצפ"ק יש גם נוכחות בסין בתחום הסייבר.
"ברור כי לצפון קוריאה יש נוכחות פיזית ווירטואלית רחבה בהודו. דפוסי הפעילות מצביעים על כך שלצפון קוריאה יש סטודנטים בלפחות שבע אוניברסיטאות ברחבי המדינה וחלקם עשויים לעבוד עם כמה מכוני מחקר ומחלקות ממשלתיות".
לאור הגילויים, כותב Prabha Rao ממכון המחקר ההודי IDSA: "האבטחה של נתוני ה - UIDAI שלנו, המקושרת לכל הפעילות הבנקאית והפיננסית, נמצאת בסימן שאלה, עם דליפות תקופתיות. העוצמה שהפגינה צפ"ק בפריצה לרשתות צבאיות בדרום קוריאה היא עניין של אי-שקט רציני, במיוחד משום שהאפשרות של כמה האקרים כאלה הפועלים על פי פקודה סינית או אפילו פקיסטנית אינה יכולה להיחשב בלתי סבירה. ההרתעה הקיברנטית שלנו דורשת מהפך דחוף. סוכנויות הביטחון שלנו לא הצליחו לאתר פעילויות זדוניות זדוניות עד שהדגישו אותן חברת Future Record, חברת אבטחה סייברית אמריקנית", כותב ראו באתר dailypioneer .
נקודה נוספת שצפה בהקשר ההודי קשורה לשימוש הבלתי חוקי בשרתי סימים במדינה. אתר thehindu חושף כי מדובר באתגר מורכב עבור שירותי הביטחון ההודים. שרתי סימים (SIM boxes) מאפשרים לפושעים, טרוריסטים ושירותי ביון זרים להשתמש בתשתית המדינה לצורך הסוואה של פעילותם (מבצעי פולס-פלאג).
מדובר בשרת המכיל עד 64 כרטיסי סים המחובר לתשתית VOIP ומאפשר ביצוע שיחות ממנו. מבחינה טכנית, חיבור VOIP הוא תשתית נתונים אשר מתנהגת כמו תשתית טלפוניה רגילה. זאת , למרות שברשת האינטרנט היא נראית כמו תעבורת נתונים רגילה.
"Flashers, התקנים שיכולים לשנות IMEI (זהות בינלאומית של ציוד נייד) משמשים להפוך טלפונים סלולריים גנובים לבלתי ניתנים לאיתור, ותיבות ה-SIM מאפשרות הקמת מרכזיות טלפון בלתי חוקיות כדי לגרוף רווחים ולגרום הפסדים מאסיביים לממשלה. בחודש אוגוסט השנה, המשטרה במומבאי פשטה על שתי מרכזיות כאלו באזורי Shagaji Nagar וברדלס במזרח מומבאי, ועצרה ארבעה נאשמים שהפעילו 14 תיבות SIM", נכתב בכתבה.
"כל שרת SIM יכול להכיל עד 32 כרטיסי SIM אשר מאפשרים שיחות בינלאומיות. אדם בדובאי יכול להתקשר למספר מקומי מדובאי, אשר ינותב למספר בהודו ולאחר מכן לנמען השיחה המיועד. בדרך זו, המתקשר נמנע מתעריף בינלאומי אשר גורם לאובדן הכנסות לממשלה. גם אם מפעילי שרתי ה-SIM ישלמו 60% מהתעריף, הם עושים מליונים בחודש", אמר קצין משטרה שלקח חלק בחקירה.
"החקירות לתוך השרת הפרוץ בברדלס גילו כי כל כרטיס ה- SIM ניתב אלפי שיחות מדי יום ממדינות שונות באסיה. הנאשם שהפעיל את השרת במחנה ברדלס היה מפצל את השלל עם עמיתו בדובאי, ועשה מליונים מדי חודש. הוא עשה כל כך הרבה כסף שהוא מחפש להשקיע אותו בעסק לגיטימי והוא עומד לבקש רישיון של ספק שירותי אינטרנט.
הנציב המשותף למשטרה (פשע) סנג'אי סקסנה מסביר: "קופסאות ה- SIM בשני המקרים במזרח מומבאי נרכשו מסין. תיבות ה- SIM ניתנות להברחה בקלות. אלא אם כן יש לנו מידע ספציפי, ליירט אותן כמעט בלתי אפשרי. רק כאשר מישהו נתפס באמצעות אותם מכשירים אנחנו נוקטים פעולה".
מחלקת התקשורת, אשר יש לה את המשאבים לפקח על תעבורת הסלולר, בודקת בקביעות תנועה כבדה מכרטיס SIM אחד על מנת לזהות שרתים כאלה. מידע על כרטיסי SIM כאלה מסופק לרשויות אכיפת החוק.
לא רק פשע. גם טרור וביון
לפי הפרסום, בחודש יוני השנה, יחידת המשטרה נגד טרור, שפעלה על פי מידע של יחידת המודיעין הצבאי בג'אמו בקשמיר, פשטה על שלוש תחנות טלפון בלתי חוקיות בלטור. סוכנים של שירות הביון הפקיסטני חשודים שקיבלו הוראות מהמפעילים שלהם מעבר לגבול באמצעות שיחות המנותבות באמצעות מרכזיות אלה.
קצין הודי הוסיף: "גם אם אנחנו תופסים שרת כזה ומקבלים ראיות של שיחות שנותבו למדינות עוינות, זיהוי המתקשרים הוא אתגר. מאות כרטיסי SIM נשרפים על ידי מחבלים על בסיס יומי, הודות לזמינות של כרטיסי ה- SIM ללא אימות מספיק".
הפרסומים לגבי הודו הם לא היחידים. מחקר של גוגל בהקשר התקפות פישינג שפורסם בשבוע האחרון מראה כי חלק ניכר מהתקפות אלו מגיע מניגריה. האם זה אומר שניגרים מבצעים את ההתקפות הללו, או שמא האקרים ממדינות אחרות מנצלים את התשתית הפרוצה בניגריה להפעיל מבצעי תקיפה בסייבר?
אין ספק כי הודו, ניגריה או כל מדינה אחרת שמופיעה במחקר של גוגל או Recorded Future היא חלק משרשרת התקיפה. בסופו של יום האקרים בוחרים את המדינות בהן האכיפה בסייבר הכי חלשה, ובהן הם מקימים את תשתית התקיפה שלהם. כאשר המדינה מתחילה לעשות משהו בנידון, הם עוברים הלאה. למדינה אחרת. מקרים אלו גם מעלים, פעם נוספת, את הטענה כי בסייבר קשה מאד ליחס תקיפה למדינה זו או אחרת.
