מחקר חושף: שיתוף פעולה בין קבוצת פשע בסייבר לצפון קוריאה
חוקרי SentinelOne חושפים קשר בין ארגון הפשע TrickBot למשטר צפון קוריאה. המטרה: ערוץ הכנסה עבור המשטר הטוטאליטרי
עמי רוחקס דומבה
| 18/12/2019
labs.sentinelone.com
חטיבת מודיעין הסייבר של חברת Sentinel Labs , SentinelOne , חשפה לאחרונה עדויות ראשונות מסוגן על שיתוף פעולה בין ארגון פשיעת סייבר מזרח אירופי לבין קבוצת התקיפה "לאזרוס" המשוייכת לצפון קוריאה. חוקרי החברה חשפו כי גורמי הפשע מאחורי פיתוח TrickBot שיתפו פעולה עם לאזרוס הצפון קוריאני, קבוצה שאחראית על חלק ממתקפות הסייבר המשמעותיות של השנים האחרונות.
הקבוצה מוכרת משנת 2009 ומיוחסת לה התקיפה המפורסמת כנגד אולפני "סוני" כנקמה על פרסום הסרט "הראיון" שלגלג על מנהיג צפון קוריאה. בשנים האחרונות הקבוצה עוסקת במתקפות כנגד גופים פיננסיים, במטרה לממן את המשטר הצפון-קוריאני שסובל ממחסור במטבע חוץ. קבוצת הפשע המאורגן Trickbot זוהתה כבר בשנת 2016, ומאז היא מפתחת ומפיצה כלי תקיפה שמשמשים לתקיפת מוסדות פיננסיים.
חוקרי SentinelOne גילו שמוצר המשוייך ל TrickBot, תחת השם Anchore, מנגיש לחברי הסינדיקט כלי תקיפה ברמה מדינתית תוך טשטוש עקבותיהן (וכיוצא מכך- טשטוש הקשר בין צפון קוריאה לקבוצה זו). זוהי הפעם הראשונה במסגרתה נחשפות עדויות לקשרים בין מעצמת סייבר מסדר גודל כזה לבין ארגון פשיעת סייבר. הקשר מנגיש לפושעים "ארסנל" של כלים המאפשר להם לתקוף מטרות גדולות ורווחיות יותר, ובמקביל מאפשר לצפון-קוריאה "למסחר" את ארסנל הסייבר שברשותה ולעשות בו שימוש למטרות מסחריות וזאת מבלי להיחשף.
ברמה הגלובאלית, מדובר בהתפתחות מדאיגה. עד עתה ההנחה הרווחת הייתה שקיימים בעולם הסייבר מספר ורטיקלים שפועלים במקביל- מדינות, ארגוני פשיעה, ארגוני טרור והאקטיבסיטים, שאינם משתפים פעולה ופועלים בצורה עצמאית וחשאית למדי. מומחי סייבר הסכימו על הסיכונים שבפעולות התקפיות במרחב הסייבר, אבל התפישה הרווחת הייתה שגופים מדינתיים "תוקפים" גופים מדינתיים אחרים או, לכל היותר, גופים מסחרים שקשורים במדינות אוייב, כגון תעשיות בטחוניות או תשתיות קריטיות.
עתה הוכח שלפחות במקרה של צפון-קוריאה, אין זה המצב. המשטר שנתון במצוקה כלכלית קשה עקב הסנקציות והבידוד מהעולם הנחה את יחידות התקיפה שלו להפנות את נשקי יום הדין שלהם גם כנגד מטרות תמימות לחלוטין, וזאת מתוך מניע כלכלי גרידא. את ההחלטה לבצע את הפעילות תחת מסווה ושיתוף פעולה עם גורמי פשיעה ניתן לייחס ליצירתיות של התוקפים. כמו גם, לרצונם להימנע מגילוי, סנקציות דיפלומטיות ואפילו שימוש באמצעים דומים כנגד כלכלת צפון קוריאה.
חוקרי SentinelOne חושפים קשר בין ארגון הפשע TrickBot למשטר צפון קוריאה. המטרה: ערוץ הכנסה עבור המשטר הטוטאליטרי
labs.sentinelone.com
חטיבת מודיעין הסייבר של חברת Sentinel Labs , SentinelOne , חשפה לאחרונה עדויות ראשונות מסוגן על שיתוף פעולה בין ארגון פשיעת סייבר מזרח אירופי לבין קבוצת התקיפה "לאזרוס" המשוייכת לצפון קוריאה. חוקרי החברה חשפו כי גורמי הפשע מאחורי פיתוח TrickBot שיתפו פעולה עם לאזרוס הצפון קוריאני, קבוצה שאחראית על חלק ממתקפות הסייבר המשמעותיות של השנים האחרונות.
הקבוצה מוכרת משנת 2009 ומיוחסת לה התקיפה המפורסמת כנגד אולפני "סוני" כנקמה על פרסום הסרט "הראיון" שלגלג על מנהיג צפון קוריאה. בשנים האחרונות הקבוצה עוסקת במתקפות כנגד גופים פיננסיים, במטרה לממן את המשטר הצפון-קוריאני שסובל ממחסור במטבע חוץ. קבוצת הפשע המאורגן Trickbot זוהתה כבר בשנת 2016, ומאז היא מפתחת ומפיצה כלי תקיפה שמשמשים לתקיפת מוסדות פיננסיים.
חוקרי SentinelOne גילו שמוצר המשוייך ל TrickBot, תחת השם Anchore, מנגיש לחברי הסינדיקט כלי תקיפה ברמה מדינתית תוך טשטוש עקבותיהן (וכיוצא מכך- טשטוש הקשר בין צפון קוריאה לקבוצה זו). זוהי הפעם הראשונה במסגרתה נחשפות עדויות לקשרים בין מעצמת סייבר מסדר גודל כזה לבין ארגון פשיעת סייבר. הקשר מנגיש לפושעים "ארסנל" של כלים המאפשר להם לתקוף מטרות גדולות ורווחיות יותר, ובמקביל מאפשר לצפון-קוריאה "למסחר" את ארסנל הסייבר שברשותה ולעשות בו שימוש למטרות מסחריות וזאת מבלי להיחשף.
ברמה הגלובאלית, מדובר בהתפתחות מדאיגה. עד עתה ההנחה הרווחת הייתה שקיימים בעולם הסייבר מספר ורטיקלים שפועלים במקביל- מדינות, ארגוני פשיעה, ארגוני טרור והאקטיבסיטים, שאינם משתפים פעולה ופועלים בצורה עצמאית וחשאית למדי. מומחי סייבר הסכימו על הסיכונים שבפעולות התקפיות במרחב הסייבר, אבל התפישה הרווחת הייתה שגופים מדינתיים "תוקפים" גופים מדינתיים אחרים או, לכל היותר, גופים מסחרים שקשורים במדינות אוייב, כגון תעשיות בטחוניות או תשתיות קריטיות.
עתה הוכח שלפחות במקרה של צפון-קוריאה, אין זה המצב. המשטר שנתון במצוקה כלכלית קשה עקב הסנקציות והבידוד מהעולם הנחה את יחידות התקיפה שלו להפנות את נשקי יום הדין שלהם גם כנגד מטרות תמימות לחלוטין, וזאת מתוך מניע כלכלי גרידא. את ההחלטה לבצע את הפעילות תחת מסווה ושיתוף פעולה עם גורמי פשיעה ניתן לייחס ליצירתיות של התוקפים. כמו גם, לרצונם להימנע מגילוי, סנקציות דיפלומטיות ואפילו שימוש באמצעים דומים כנגד כלכלת צפון קוריאה.
