האקרים מצפון קוריאה פרצו בשנים האחרונות לבורסות קריפטו בארץ וגנבו עשרות מיליונים  

ההאקרים, שמשתייכים לקבוצת לזרוס, ביצעו בחמש השנים האחרונות "בהצלחה גדולה, עשרות מתקפות על בורסות קריפטו ישראליות, במסגרת קמפיין שנקרא CryptoCore - כך חשפו חוקרי קלירסקיי

קבוצת ההאקרים הצפון קוריאנית לזרוס ערכה בחמש השנים האחרונות עשרות מתקפות על בורסות קריפטו ישראליות והצליחה לגנוב סכום מצטבר של עשרות מיליוני דולרים – כך לפי מחקר חדש של קלירסקיי הישראלית, שמתפרסם בלעדית כאן, באנשים ומחשבים.

המחקר מעלה כי יש קשר בין הקבוצה לבין תקיפות מתמשכות, יום יומיות, על בורסות קריפטו בישראל. "להערכתנו", כותבים החוקרים, "בורסות הקריפטו הן הגופים המותקפים ביותר כיום במגזר הפיננסי. לא רק ההאקרים של לזרוס מבצעים את התקיפות, אבל הם עושים זאת כבר כמעט חמש שנים ברציפות, עם הצלחות גדולות". שמותיהן של הבורסות שנפלו קורבן לתקיפות של ההאקרים הצפון קוריאנים לא נמסרו.

"ההצלחה של הקבוצה מול בורסות הקריפטו הפחיתה מאוד את הפעילות שלה מול הבנקים", נכתב בדו"ח המחקר. "הבנקים חוו בשנים 2016-18 סדרת תקיפות על מערכות ה-SWIFT שלהם. הסיבה היא שכל הנכסים של חברות אלה מוחזקים בארנקים דיגיטליים, שחלקם מקושרים סביב השעון לאינטרנט. מול הבורסות הללו מתבצעים בכל יום כמה ניסיונות תקיפה – החל מפישינג על עובדים ומנהלים, וכלה בניסיונות פריצה לשרתי החברות, ללקוחות ולספקי צד ג' של חברות אלה".

הקמפיין CryptoCore הוא קמפיין תקיפה, שחוקרי קלירסקיי חשפו לפני שלוש שנים. הקמפיין מתמקד בתקיפת בורסות מטבעות דיגיטליים וגניבת ארנקי קריפטו. במהלך הקמפיין הצליחו התוקפים לגנוב ארנקי קריפטו, המכילים עשרות עד מאות מיליוני דולרים. הקמפיין נחקר במקביל על ידי גופי מחקר נוספים, בהם NTT Security. הוא מוכר גם בשמות CryptoMimic, Leery Turtle ו-Dangerous Password. החוקרים הסבירו כי עילת המחקר הנוכחי היא לקשר בין הקמפיין לקבוצת לזרוס הצפון קוריאנית. המחקר כלל כמה סוגי חקירות והשוואות, בין השאר בין אינדיקטורים, כלי תקיפה ומועדי פעילות, לרבות הצלבה עם נתוני המחקרים האחרים שבוצעו על לזרוס.

לפחות 12 שנים של תקיפות

לזרוס מוכרת גם בשמות Cobra Hidden, ZINC, Team Whois, APT38 ועוד. קבוצת התקיפה הצפון קוריאנית פעילה לפחות מאז 2009 ומתמקדת בריגול ובשיבוש, בעיקר נגד שתי היריבות המרות של פיונגיאנג – ארצות הברית ודרום קוריאה, וכן בגניבת כספים, בדגש על מטבעות קריפטו. לפי ה-FBI, הקבוצה שייכת לסוכנות הביון הצפון קוראנית RGB.

ביוני האחרון חוקרי קלירסקיי דיווחו על קמפיין CryptoCore, שתוקף חברות ובורסות קריפטו בישראל. הקמפיין הופעל במשך לפחות שלוש שנים גם נגד בורסות מטבעות קריפטו בארצות הברית, אירופה ויפן. נכון למועד הפרסום, החוקרים לא הצליחו למצוא למי לייחס את המתקפות, ו-"ההשערה הראשונית שלנו הייתה שייתכן שהתוקפים שייכים לקבוצת פשיעה רוסית או מזרח אירופית. השוואה שביצענו בין מחקרים אלה לבין הידוע לנו מחקירת קמפיין CryptoCore הצביעה על האפשרות שייתכן שכל המחקרים עוסקים באותו גורם תקיפה". לשם כך, החוקרים ערכו השוואת סקריפטים, השוואת כלי תקיפה, בחינת התנהגות הקבצים, השוואת הדמיון בקטעי הקוד ובחינת ממדים שונים בתקפות, לרבות החתימה – באמצעות חוקי YARA.

"בסבירות בינונית עד גבוהה, מדובר בקמפיין תקיפה בסייבר אחד, שמאחוריו ניצבת קבוצת לזרוס, שפועלת מול גופים פיננסיים בישראל. הקבוצה הצליחה לחדור למאות ארגונים וחברות בכל העולם. החידוש בפרסום הוא שעד היום, לא היה ברור שהקבוצה תוקפת ארגונים פיננסיים בישראל", סיכמו החוקרים.