X

מתקפת סייבר מתוחכמת: צפון קוריאה חדרה לחברות מערביות דרך אפליקציית זום

חוקרי חברת הסייבר הישראלית סיגניה חשפו פעילות ריגול של עובד צפון-קוריאני • "התוקף ניצל חולשת אמון, לא חולשת קוד" • חלק ממגמה רחבה יותר של פעילות של המדינה העוינת נגד מטרות מערביות

רועי בית לוי
, עודכן
0השמעה
זום (אילוסטרציה). צילום: גרוק

חברת הסייבר הישראלית סיגניה חשפה לאחרונה מתקפת ריגול מתוחכמת שבוצעה על ידי אזרח צפון-קוריאני, שהתחזה לעובד לגיטימי בחברה מערבית. התוקף, שהועסק דרך פלטפורמת מיקור-חוץ תוך שימוש בזהות מזויפת, ניצל כלים יומיומיים כמו זום ופרוטוקולי רשת בסיסיים כדי לחדור למערכות הארגון ולהעביר מידע רגיש, תוך שהוא נשאר סמוי לאורך זמן.

המתקפה התגלתה לאחר שסיגניה ניתחה מחשב נייד ארגוני שהונפק לעובד חדש והוחזר לאחר תקרית חיצונית. החקירה חשפה מערך שליטה מרחוק מתקדם, שהתבסס על סקריפטים מבוססי Python (שפת תכנות פופולרית), שימוש בפרוטוקול ARP (פרוטוקול בסיסי לזיהוי מכשירים ברשת) ותשתית תקשורת מבוססת WebSockets (טכנולוגיה המאפשרת תקשורת דו-כיוונית מהירה).

בניתוח התגלה, כי התוקף ניצל את פונקציית שיתוף המסך בזום כדי להפעיל פקודות מרחוק, תוך הסוואת פעילותו כתהליכי עבודה שגרתיים של מפתח תוכנה.

"התוקף פעל מתוך הארגון, לא מבחוץ", מסביר שהם סימון, סמנכ"ל בכיר לשירותי סייבר בסיגניה. "הוא לא נזקק לפריצה טכנית, אלא ניצל את האמון שניתן בו כעובד". לדבריו, המקרה מדגיש את הצורך בניטור התנהגויות חריגות, גם כאשר השימוש בכלים נראה תקין.

שהם סימון, סמנכ"ל בכיר לשירותי סייבר בסיגניה. "התוקף לא נזקק לפריצה טכנית, אלא ניצל את האמון שניתן בו כעובד", צילום: צילום: גיא להב

סיגניה, שהוקמה על ידי בכירים לשעבר ביחידות הסייבר של צה"ל, סייעה לארגונים ברחבי העולם להתמודד עם איומים דומים, והחקירה הנוכחית ממחישה את יכולותיה המתקדמות בתחום אבטחת המידע.

חוות מחשבים בארה"ב

המקרה קשור גם לתופעה רחבה יותר של "חוות מחשבים" בארצות הברית, שבהן אזרחים אמריקנים, לעיתים ללא ידיעתם, מסייעים לגורמים צפון קוריאנים להשיג משרות בחברות מערביות תוך שימוש בזהויות גנובות. לפי דיווח ב"וול סטריט ג'ורנל", אחת המפעילות המרכזיות, כריסטינה צ'פמן, החזיקה בביתה עשרות מחשבים ניידים שהופעלו מרחוק על ידי עובדים צפון-קוריאנים. היא סייעה בהעברת משכורות בסך 17.1 מיליון דולר מיותר מ-300 חברות אמריקניות, תוך שימוש בתוכנות גישה מרחוק.

פיונגיאנג, צפון קוריאה. תופעת "חוות המחשבים" מכניסה מאות מיליוני דולרים בשנה לצפון קוריאה, צילום: אי.אף.פי

צ'פמן, שלא ידעה כי היא מסייעת לצפון קוריאנים, הופעלה על ידי גורמים שהציגו עצמם כחברות לגיטימיות. היא ניהלה פעילות זו מביתה, תוך טיפול במשלוחי מחשבים, התקנת תוכנות והעברת כספים. לפי התביעה נגדה, היא הרוויחה כ-177,000 דולר והודתה באשמה בהונאה, גניבת זהות והלבנת כספים.

לפי הדיווח, ה-FBI מעריך כי תופעת "חוות המחשבים" מכניסה מאות מיליוני דולרים בשנה לצפון קוריאה, המהווים חלק משמעותי מהכלכלה המקומית, הנתונה תחת סנקציות בינלאומיות. התוקפים, לעיתים מומחי טכנולוגיה שהוכשרו בצפון קוריאה, פועלים ממדינות כמו סין ורוסיה כדי להסתיר את זהותם.

המקרה מדגיש את האתגר הגובר עבור חברות המשתמשות בעובדים מרחוק. "חברות חייבות להשקיע באיתור התנהגויות חריגות, גם כאשר הכלים בשימוש נראים לגיטימיים", אומר סימון. סיגניה ממליצה על ניטור מתקדם של פרוטוקולי רשת ושימוש בכלים בסיסיים כמו זום, לצד בדיקות זהות מחמירות יותר בתהליכי גיוס.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
טכנולוגיהמתקפת סייברצפון קוריאה

כדאי להכיר