ב-Online
 
 
 
 
 
 
 
סייבר 
מבצע לזרוס: כך צפון-קוריאה גונבת כספים מבנקים במערב באמצעות מתקפות סייבר 

מבצע לזרוס: כך צפון-קוריאה גונבת כספים מבנקים במערב באמצעות מתקפות סייבר

 
סייבר |
 

בכנס סייבר בין לאומי שעורכת חברת קספרסקי באי סן מרטן שבקאריבים נחשף כי כבר קרוב לעשור שצפון- קוריאה עומדת מאחורי מעשי שוד של בנקים במרחב הסייבר ברחבי העולם. לסיפור המלא

 
 
 
 
 
 
 
 
 
 
 

מעבדת המחקר של קספרסקי פירסמה אמש(ג') תוצאות של מחקר בן יותר משנה העוסק בפעילות קבוצת לזרוס - קבוצת האקרים ידועים לשמצה שכנראה אחראית לגניבה של 81 מיליון דולר מהבנק המרכזי של בנגלדש ב- 2016 ובין היתר גם עומדת מאחורי הפריצה הידועה לשימצה לאולפני סוני בשנת 2014. לאורך השנים פעילות הקבוצה הזו יוחסה לממשלת צפון קוריאה, בעיקר ומאחר והעדויות הראשונות לקיומה נחשפו במתקפות סייבר מתוחכמות שהופנו לעבר ממשלת קוריאה הדרומית בסוף העשור הקודם. המחקר של קספרסקי עוקב אחר מעורבות הקבוצה הזו במקרי פשיעת סייבר חמורים שכוונו כנגד מערכות בנקאות ברחבי העולם, וממפה את דרכיה הפעולה שלהם.

 

במהלך ניתוח של הממצאים שהותירה אחריה הקבוצה בבנקים בדרום מזרח אסיה ובאירופה, בחנו חוקרי מעבדת קספרסקי את הכלים הזדוניים שבהם השתמשה הקבוצה ואת הדרך בה פעלה במהלך התקפות על גופים פיננסים, בתי קזינו, מפתחי תוכנה, חברות השקעה ועסקים של מטבע קריפטוגרפי ברחבי העולם. המחקר סייע לשבש פעילות מתוכננת של הקבוצה שמטרתה היתה - לגנוב סכומי כסף גדולים מגופים פיננסים.

 

 

השתלשלות הארועים


בפברואר 2016, קבוצת האקרים (שלא הייתה מזוהה באותו הזמן) ניסתה לגנוב 851 מיליון דולר, כשהיא מצליחה לבצע העברה של 81 מיליון דולר מהבנק המרכזי של בנגלדש. פעילות זו נחשבת לשוד הסייבר הגדול והמוצלח ביותר אי פעם. חקירה שערכו חוקרים מחברות אבטחת מידע שונות, כולל מעבדת קספרסקי, חשפה כי קיים סיכוי גבוה לכך שההתקפה בוצעה על ידי לזרוס - קבוצת ריגול סייבר הידועה כאחראית לסדרה של התקפות הרסניות, בעיקר התקפות על חברות תעשייה, מדיה וגופים פיננסים, בלפחות 18 מדינות ברחבי העולם מאז 2009.


למרות שחלפו מספר חודשים רגועים לאחר המתקפה על בנגלדש, קבוצת לזרוס המשיכה לפעול. חברי הקבוצה התכוננו לפעילות חדשה של גניבת כספים מבנקים נוספים, ואף התחילו לפלס דרך לתוך גוף פיננסי בדרום מזרח אסיה. אלא שהם הופרעו על ידי מוצרי מעבדת קספרסקי ובשל החקירה שבוצעה לאחר מכן, מה שגרם לעיכובם למשך מספר חודשים ואף לשינוי כיוון והעברת הפעילות לאירופה. אבל גם שם, הניסיונות שלהם שובשו כתוצאה מזיהוי פעילותם על ידי תוכנת האבטחה של מעבדת קספרסקי, וכן על ידי תגובה מהירה, ניתוח פורנזי, והנדסה הפוכה מצד חוקרי החברה.

 

 
סייבר
 סייבר   צילום: fottolia 
 

אז איך עבדה שיטת הפעולה של לזרוס?


בהתבסס על תוצאות ניתוח פורנזי של המתקפות, חוקרי מעבדת קספרסקי היו מסוגלים לעקוב אחר דרך הפעולה של הקבוצה.


• הפריצה הראשונית: מערכת יחידה בתוך הבנק נפרצת באמצעות פירצה בקוד עם גישה מרחוק (כגון בשרת רשת) או באמצעות מתקפת "בור השקיה" עם כלי פריצה שהושתלו באתר חיצוני. ברגע שהוא מבקר באתר, מחשב הקורבן (עובד בנק) נדבק בקוד הזדוני אשר מייבא אחריו רכיבים נוספים.


• רגל בדלת: הקבוצה נודדת משם למערכות אחרות בבנק ומפעילה דלת אחורית קבועה - קוד זדוני שמאפשר לה להיכנס ולצאת מתי שתרצה.


• סיור והיכרות: לאחר מכן הקבוצה מבלה ימים ושבועות בלימוד הרשת ובזיהוי המשאבים החשובים בה. משאב אחד שכזה יכול להיות שרת הגיבוי - בו מאוחסנים סיסמאות ונתוני אימות, הוא יכול להיות גם שרת דואר או בקר דומיין מלא המכילים את המפתחות לכל "דלת" בחברה, וכן שרתים המאחסנים או מעבדים רשומות של פעילות פיננסית.


• אספקה וגניבה: לבסוף, הם מפעילים קוד זדוני מיוחד המסוגל לעקוף את מאפייני האבטחה הפנימיים או תוכנה פיננסית ולרשום פעולות פיננסיות מזויפות בשם הבנק.

 

 
מפת תקיפת הבנקים על ידי קבוצת לזרוס
 מפת תקיפת הבנקים על ידי קבוצת לזרוס   צילום: קספרסקי 
 
 

ההתקפות שנחקרו על ידי חוקרי מעבדת קספרסקי נמשכו שבועות. עם זאת, התוקפים יכלו לפעול מתחת למכ"ם במשך חודשים. לדוגמא, במהלך ניתוח האירוע בדרום מזרח אסיה, החוקרים גילו כי ההאקרים הצליחו לפרוץ לרשת הבנק לא פחות מ- 7 חודשים לפני היום בו צוות האבטחה של הבנק הפעיל תגובה לאירוע.


על פי רשומות מעבדת קספרסקי, החל מדצמבר 2015, דוגמיות של קוד זדוני הקשורות לפעילות של קבוצת לזרוס הופיעו בגופים פיננסים, בתי קזינו ומפתחים של תוכנות להשקעות, בקוריאה, בנגלדש, הודו, וייטנאם, אינדונזיה, קוסטה ריקה, מלזיה, פולין, עירק, אתיופיה, קניה, ניגריה, אורוגואי, גבון, תאילנד ומספר מדינות נוספות. הדוגמיות האחרונות שזיהתה מעבדת קספרסקי נאספו במרץ 2017, המראות כי לתוקפים אין כוונה לעצור.


התוקפים היו אומנם זהירים מאוד ועשו מאמצעים למחוק את עקבותיהם, אולם לפחות שרת אחד שפרצו אליו במסגרת פעילות אחרת, הכיל טעות רצינית וכלל ממצא חשוב שהם הותירו מאחור. בהכנה לפעילות שלהם, השרת הוגדר כמרכז פיקוד ושליטה עבור הקוד הזדוני. החיבורים הראשונים שבוצעו ביום הגדרת השרת הגיעו ממספר שרתי VPN/proxy המצביעים על כך שמדובר על תקופת מבחן עבור שרתי השו"ב. עם זאת, נעשה באותו היום נעשה גם חיבור קצר אשר הגיע מכתובת IP נדירה מאוד בצפון קוריאה. ראוי לציין כי ממצא יחידי זה אשר עשוי להצביע על המקור האפשרי של קבוצת לזרוס, או לפחות של חלק מחבריה, אינו מספיק כדי לבסס ייחוס וודאי מאחר והחיבור יכול היה להיות תוצאה של פעילות שגויה או של הטעיה.


קבוצת לזרוס משקיעה רבות בגרסאות חדשות של הקוד הזדוני שלה. במשך חודשים ניסו חבריה ליצור מערך כלים זדוניים שיהיה בלתי נראה לפתרונות אבטחה. אבל כל פעם שהם ניסו זאת, מומחי מעבדת קספרסקי הצליחו לזהות מאפיינים ייחודיים בדרך בה הם יצרו את הקוד, דבר שאפשר למעבדת קספרסקי לבצע מעקב אחר הדוגמיות החדשות. כעת, התוקפים הפכו לשקטים יחסית, והמשמעות היא שהם כנראה עצרו כדי לעבוד מחדש על מערך הכלים שלהם.
"אנו בטוחים שהם יחזרו בקרוב. בסך הכל, התקפות כמו אלו שביצעה קבוצת לזרוס מראות כי טעות קטנה בהגדרה יכולה להביא לפריצה גדולה באבטחה, דבר שיכול לעלות לקורבן מאות מיליוני דולרים. אנו מקווים כי מנהלים בכירים בבנקים, מוסדות פיננסים וחברות להשקעות ברחבי העולם יהיו מודעים לשם לזרוס", אמר ויטאלי קמלוק, ראש צוות מחקר וניתוח בינלאומי בדרום מזרח אסיה, מעבדת קספרסקי.

 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by