משוד היסטורי של 1.5 מיליארד דולר בסופ״ש ועד להתחזות לקרנות הון סיכון
האקרים צפון קוריאניים גנבו כ-3 מיליארד דולר בדרכים יצירתיות במיוחד
בסופ״ש האחרון מסתמן שהתרחש שוד בקריפטו הגדול ביותר בהיסטוריה- נכסים דיגיטליים בשווי של 1.5 מיליארד דולר נגנבו מהארנק הקר של פלטפורמת המסחר Bybit, הפריצה מקושרת לקבוצה בשם Lazarus Group מקוריאה - אלו הם האקרים בשליחות המדינה (׳nation-state hackers'). זו קבוצה שידועה בכך שהפריצות שלה משמשות למימון הפעילות של משטר צפון קוריאה. מדובר בעליית מדרגה רצינית שכן הפריצה הזו היא בהיקף גדול יותר מכל הפריצות שלהם יחד בשנת 2024.
כנס סייבר שהתקיים לאחרונה בארה״ב חשף שיטות חדשות ויצירתיות של אותם 'nation-state hackers', האקרים בשליחות המדינה שהצליחו עד כה לגנוב קריפטו בשווי של מיליארדי דולרים לטובת צפון קוריאה. חלק מהשיטות שהם הפעילו היו התקנת תוכנות זדוניות והשתלטויות על מערכות פנימיות תוך התחזויות לקרנות הון סיכון, צוותי גיוס של חברות בינלאומיות, ומועמדים לתפקידי IT.
השיטה שנחשפה הייתה עקבית ויעילה: כשהתחזו לקרנות הון סיכון אותם האקרים שלחו לחברות לינק תקול לשיחת הווידאו, משלא עבד הלינק לחצו עליהם להוריד ״כלי״ לתיקון התקלה. כשהתחזו לצוותי גיוס הצליחו לגרום למועמדים להוריד קבצים ׳מטופלים׳ של משימות, אותם קבצים היו בעלי גישה לארנקי קריפטו במחשב. לפי דיווח של מיקרוסופט, כך הצליחו ההאקרים לגנוב שווי של יותר מעשרה מיליון דולר במטבעות קריפטו בכמה חודשים בודדים.
עוד לפני הפריצה המדוברת לפלטפורמת המסחר בסופ״שׁ האחרון, במסגרת גל התקיפות של 2024, האקרים צפון קוריאנים אחראים על גניבת נכסים בשווי 1.3 מיליארד דולר, יותר מחצי משווי הנכסים הדיגיטליים הכוללים שנגנבו בקריפטו (בשווי של 2.2 מיליארד דולר) בשנה הזו. הם גם עומדים מאחורי אחת מהתקיפות הבולטות ביותר בתעשיית הקריפטו שהתרחשה ביולי האחרון נגד פלטפורמת המסחר WazirX, אחת מבורסות הקריפטו הגדולות בהודו, שבה נגנבו נכסים דיגיטליים בשווי של כ-235 מיליון דולר. ה-FBI והאו”ם מעריכים כי מאז 2017, האקרים צפון-קוריאנים גנבו כ-3 מיליארד דולר במטבעות קריפטוגרפיים. ההכנסות משמשות למימון תוכניות צבאיות של צפון קוריאה, כולל פיתוח נשק גרעיני.
בקריפטו, כמו בכל תחום אחר, תקיפות רבות מתחילות בניצול חולשות אנושיות (פישינג). מתקפות אלו כוללות שליחת קישורים מטעים או פתיחת מסמכים עם קוד זדוני, ולעיתים אף התחזות לאנשים או ארגונים מוכרים. ברגע שהגישה למערכת הושגה, התוקפים מחפשים לנצל נקודות תורפה בתהליכי החתימה על טרנזקציות – אחד החלקים הקריטיים בתפעול ארנקי קריפטו.
מנגנון החתימות, שנחשב לאבן היסוד של אבטחת קריפטו, מתגלה לעיתים כעקב אכילס: התערבות בתהליכי חתימות יכולים לאפשר לתוקפים לחתום על עסקאות בלתי מורשות ולרוקן ארנקים דיגיטליים. בנוסף, פעמים רבות מתגלים איומים גם ברמת שרשרת האספקה – בין אם מדובר בשירותי צד שלישי לא מאובטחים או בגורמים פנימיים שסרחו.
בין אם מדובר באבטחת נכסים דיגיטליים בבנקים, בקרב חברות או הגנה מפני פריצות לפלטפורמות מסחר בקריפטו כדאי להכיר את המנגנונים השונים שאותם ארגונים שמחזיקים נכסים דיגיטליים עבור עצמם או עבור לקוחות, משתמשים כדי לאבטחם:
פיתוח מערכת SecOps חזקה - שילוב תהליכי אבטחת מידע בתפעול היומיומי של הבורסה מבטיח שכל רכיבי המערכת, כולל אפליקציות, שרתים ורשתות, מנוטרים ומוגנים באופן שוטף מפני איומים פוטנציאליים. כמו בתחומים אחרים, עצם קיום התראה על חולשות או התנהגות חשודה בזמן אמת מאפשרת תגובה מהירה לאיומים. שילוב של תהליכי אוטומציה וטכנולוגיות כמו SIEM (Security Information and Event Management) יכולים לשפר משמעותית את יכולות הזיהוי והתגובה.
הכשרת עובדים לזיהוי מתקפות פישינג והנדסה חברתית: עובדים הם קו ההגנה הראשון בכל ארגון, ולכן הדרכה מתמדת על סימני הזיהוי ואפילו סימולציות של מתקפות מסייעות בזיהוי חולשות בתהליך. יצירת תרבות מודעות לאיומים תסייע בהפחתת הסיכון לחדירה דרך טעויות אנוש ותעורר את החשד המתאים גם אל מול מתחזים שונים.
פיצול אחריות לאישור עסקאות, יצירת ארנקים וניהול אדמיניסטרטיבי בין מספר גורמים עצמאיים: אחד מהמנגנונים הנפוצים ביותר הוא פיצול האחריות, אשר מפחית את הסיכון בכך שלאף אדם יחיד אין גישה לכלי ניהול קריטיים. מומלץ להשתמש בטכנולוגיות המאפשרות ריבוי חתימות (multi-signature) כדי להבטיח שעסקאות יאושרו רק לאחר מספר שלבים המאומתים על ידי גורמים בלתי תלויים.
הטמעת מדיניות גישה ואישור חזקה: מדיניות גישה מבוססת על עקרונות של least privilege (גישה מינימלית הנדרשת לתפקיד) כדי להבטיח שרק עובדים בעלי תפקיד ספציפי יקבלו גישה למידע רגיש או למערכות קריטיות. בנוסף, מומלץ לשלב אימות רב-שלבי (MFA) לכל המשתמשים במערכות, ובמקרים רגישים במיוחד, לשקול שימוש באמצעי אימות ביומטריים וחומרתיים להגברת האבטחה.
שימוש באחסון קר: אחסון קר (Cold Storage) שומר על נכסי הקריפטו במצב לא מקוון, ובכך מונע מתוקפים פוטנציאליים לגשת אליהם מרחוק. פתרון זה מתאים במיוחד לנכסים שאינם מיועדים לשימוש שוטף. לעיתים מתבצעות בדיקות תקופתיות כדי להבטיח שהנכסים באחסון קר לא נפגעו.
בורסות הקריפטו ממשיכות להיות מטרה מועדפת לתוקפים, והטכניקות שלהם מתפתחות כל הזמן. על מנת להישאר צעד אחד קדימה, יש צורך בשילוב של טכנולוגיות מתקדמות, חינוך אבטחתי והקפדה על אמצעי זהירות בכל שלב בעסקאות הקריפטוגרפיות. האיומים הם אמיתיים, אך עם שיתוף פעולה בינלאומי והיערכות נכונה, ניתן להפוך את תחום הקריפטו לבטוח יותר עבור המשתמשים והחברות כאחד.
אנחנו מצפים מבנקים, קרנות פנסיה, וכל מוסד פיננסי שמחזיק בכספים שלנו לשמור עליהם מכל משמר. כל פלטפורמה לניהול נכסים דיגיטליים, בין אם מדובר בבורסת קריפטו או בנק שמאפשר אחזקה במטבעות קריפטו, צריך לתת לנו את אותה הרגשה שמאפשרת לנו היום בבטחון לנהל את הכספים שלנו בבנק ולא מתחת לבלטות. האקרים משתכללים מרגע לרגע והסכומים במאזנים תופחים ככל שהקריפטו ממשיך לקבל את אמון הציבור. חברות הסייבר בתחום פועלות אל מול אותם אתגרים ולטובת אותן מטרות של חברות הסייבר המסורתי, רק במציאות שמשתנה בקצב של x7.
שחר מדר הוא סמנכ״ל אבטחה ומחקר סייבר, פיירבלוקס
