קלירסקיי: קבוצת האקרים גנבה מאות מליוני דולרים במטבעות דיגיטליים
קבוצת פשיעת סייבר מזרח אירופית גנבה בשנתיים האחרונות מאות מיליוני דולרים מבורסות קריפטוגרפיות בישראל ובעולם
עמי רוחקס דומבה
| 28/06/2020
בועז דולב. צילום: ישראל הדרי
חברת הסייבר הישראלית קלירסקיי (ClearSky Cyber Security) חושפת את פעילותה של קבוצת פשיעת סייבר מזרח אירופית שגנבה בשנתיים האחרונות מאות מיליוני דולרים מבורסות קריפטוגרפיות בישראל ובעולם. במחקר מקיף, קלירסקיי מספקת לראשונה פרטים אודות פעילות הקבוצה, הטקטיקות והיקפי הנזק שנגרם כתוצאה ממתקפותיה. המגזר הפיננסי, ובפרט בורסות קריפטוגרפיות וחברות פינטק ברחבי העולם הפכו ליעד המרכזי והמאוים ביותר ממתקפות סייבר שמטרתן גניבת כספים, לכן, לחשיפת הקבוצה ודרכי הפעולה שלה, ישנה חשיבות מכרעת בהתגוננות ממתקפות דומות עתידיות.
"המעקב שלנו אחר הקבוצה שאנו מכנים CryptoCore, נמשך בקירוב לשנתיים כשעיקר פעילותה היה נגד בורסות למטבעות דיגיטליים וחברות שעובדות איתן, לרוב מיפן וארה"ב" הסביר בועז דולב, מנכ"ל קלירסקיי. "על פי ניתוח המתקפות, אמנם לקבוצה אין יכולות טכניות מתקדמות, אך היא פועלת בשיטתיות, לאורך זמן ובשילוב תשתית מודיעינית שהוכנה מראש. כך הקבוצה הצליחה לגרוף מאז מאי 2018 כ- 70 מיליון דולר במתקפות בישראל ויותר מ- 100 מיליון דולר בעולם."
המטרה העיקרית של CryptoCore היא להשיג גישה לארנקי הכסף דיגיטליים, בין אם מדובר בארנקים של הבורסה או בארנקים פרטיים השייכים לעובדי החברה. כחלק מתהליך התקיפה הקבוצה ביצעה איסוף מודיעיני מקיף על הבורסות אותן תקפה, כולל השגת מידע על העובדים והמנהלים הבכירים של הבורסות. לאחר מכן, תוך התחזות מושקעת למנהלים אחרים או ניצול הרשאות שהודלפו, חדרו התוקפים למערכות המחשוב הארגוניות על ידי ביצוע פישינג שנשלח לחשבונות האימייל האישיים של מנהלי הבורסה. לעיתים, על מנת לגנוב את המפתחות לארנקי הקריפטו , המתינו התוקפים בסבלנות להזדמנות מתאימה במשך שבועות וחודשים עד שהצליחו לחשוף מידע קריטי שאפשר להם לבצע את הגניבה.
חוקרי קלירסקיי זיהו מספר מאפיינים חוזרים בטכניקת התקיפה של הקבוצה שיכולים לשמש כתמרור אזהרה לזיהוי תקיפות עתידיות: 1. שימוש בדומיינים של אתרי חברות מובילות בתחום, כגוןbtcprime[.]tk, krypitalvc[.]com , blockchaintransparency[.]institute 2. שימוש בשירותים המקצרים את כתובת ה URL על מנת להסוות קישורים נגועים המובילים להדבקה וגם מאפשרים לעקוב אחר קצב ההדבקה 3. הטמנת קישורים המובילים להדבקה והורדת קבצים במסמכי טקסט ולוגואים. 4. ניצול הדלפות ידועות של הרשאות במהלך השנים האחרונות, על מנת לחדור לחשבונות המייל של העובדים הקריטיים ולפרוס משם את כלי התקיפה שלהם.
קבוצת פשיעת סייבר מזרח אירופית גנבה בשנתיים האחרונות מאות מיליוני דולרים מבורסות קריפטוגרפיות בישראל ובעולם
בועז דולב. צילום: ישראל הדרי
חברת הסייבר הישראלית קלירסקיי (ClearSky Cyber Security) חושפת את פעילותה של קבוצת פשיעת סייבר מזרח אירופית שגנבה בשנתיים האחרונות מאות מיליוני דולרים מבורסות קריפטוגרפיות בישראל ובעולם. במחקר מקיף, קלירסקיי מספקת לראשונה פרטים אודות פעילות הקבוצה, הטקטיקות והיקפי הנזק שנגרם כתוצאה ממתקפותיה. המגזר הפיננסי, ובפרט בורסות קריפטוגרפיות וחברות פינטק ברחבי העולם הפכו ליעד המרכזי והמאוים ביותר ממתקפות סייבר שמטרתן גניבת כספים, לכן, לחשיפת הקבוצה ודרכי הפעולה שלה, ישנה חשיבות מכרעת בהתגוננות ממתקפות דומות עתידיות.
"המעקב שלנו אחר הקבוצה שאנו מכנים CryptoCore, נמשך בקירוב לשנתיים כשעיקר פעילותה היה נגד בורסות למטבעות דיגיטליים וחברות שעובדות איתן, לרוב מיפן וארה"ב" הסביר בועז דולב, מנכ"ל קלירסקיי. "על פי ניתוח המתקפות, אמנם לקבוצה אין יכולות טכניות מתקדמות, אך היא פועלת בשיטתיות, לאורך זמן ובשילוב תשתית מודיעינית שהוכנה מראש. כך הקבוצה הצליחה לגרוף מאז מאי 2018 כ- 70 מיליון דולר במתקפות בישראל ויותר מ- 100 מיליון דולר בעולם."
המטרה העיקרית של CryptoCore היא להשיג גישה לארנקי הכסף דיגיטליים, בין אם מדובר בארנקים של הבורסה או בארנקים פרטיים השייכים לעובדי החברה. כחלק מתהליך התקיפה הקבוצה ביצעה איסוף מודיעיני מקיף על הבורסות אותן תקפה, כולל השגת מידע על העובדים והמנהלים הבכירים של הבורסות. לאחר מכן, תוך התחזות מושקעת למנהלים אחרים או ניצול הרשאות שהודלפו, חדרו התוקפים למערכות המחשוב הארגוניות על ידי ביצוע פישינג שנשלח לחשבונות האימייל האישיים של מנהלי הבורסה. לעיתים, על מנת לגנוב את המפתחות לארנקי הקריפטו , המתינו התוקפים בסבלנות להזדמנות מתאימה במשך שבועות וחודשים עד שהצליחו לחשוף מידע קריטי שאפשר להם לבצע את הגניבה.
חוקרי קלירסקיי זיהו מספר מאפיינים חוזרים בטכניקת התקיפה של הקבוצה שיכולים לשמש כתמרור אזהרה לזיהוי תקיפות עתידיות: 1. שימוש בדומיינים של אתרי חברות מובילות בתחום, כגוןbtcprime[.]tk, krypitalvc[.]com , blockchaintransparency[.]
