סגור
באנר דסקטופ כלכליסט טק
מטבע קריפטו
ביטקוין (צילום: גטי)

צבא ההאקרים הצפון קוריאני מסתנן לחברות קריפטו כדי לממן את המשטר

לפי ה-CNN, מדובר במערך של עובדים המועסקים בחברות הקריפטו ושולחים את רוב משכורתם לצפון קוריאה, או שהם מסייעים לקבוצות האקרים לפרוץ לבורסות בתחום ולבצע גניבות במיליארדים; הקריסה בשווי המטבעות הדיגיטליים לא ממש מרתיעה את המשטר

המשטר הצפון קוריאני מממן את תוכנית הגרעין שלו דרך מערך מתוחכם של סוכנים והאקרים שמוחדרים לחברות ובורסות קריפטו מערביות, בעיקר בארה"ב. על פי דיווח של CNN היום (ב'), הסוכנים פועלים בשתי צורות: הם מועסקים כמפתחים או מהנדסים בחברות ושולחים את רוב משכורתם, שבמקרים מסוימים מגיעה למאות אלפי דולרים בשנה, חזרה לצפון קוריאה; או שהם מנצלים את תפקידם כדי להקל על קבוצות האקרים לפרוץ לבורסות קריפטו ולגנוב מטבעות בשווי של מיליארדי דולרים.
לפי הערכות של האו''ם, ה-FBI וחוקרים פרטיים, בחלק מהמקרים המרגלים הצפון קוריאנים הצליחו לגנוב מאות מיליוני דולרים בכל מבצע שכזה. על פי עדויות של בעלי חברות קריפטו או ספקי שירות בתעשייה, ההאקרים שמצליחים להשתחל למקומות העבודה מציגים את עצמם לרוב כסינים כולל כל המסמכים הנדרשים. ואולם לא מדובר רק בבורסות קריפטו או חברות בתחום. צבא המפתחים הזה גם מנסה לחדור לחברות IT בתפקידים תמימים לחלוטין. מתוך משכורת שנתית של כ-300 אלף דולר, כ-90% מועברים חזרה לחשבונות בנק המקושרים למשטר בפיונגיאנג.
בנוסף להחדרת סוכנים סמויים ומרגלים לחברות ושימוש בהאקרים, המשטר גם בנה מאות מתקנים לכריית מטבעות קריפטו. "הצפון קוריאנים מתייחסים לדבר בצורה רצינית ביותר - עבורם זו דרך חיים", כך מסביר אנליסט לשעבר ב-CIA, סו קים.
עם זאת, אחת הבעיות של השימוש בקריפטו הוא הקריסה המתמשכת בערך של המטבעות האלה בחודשים האחרונים. כך שערך הכסף שנשמר במאות חשבונות מפוזרים ברחבי העולם הצטמצם באופן ניכר. על פי הערכות של חברת המחקר Chainalysis, שהתבססה על מספר חשבונות שקושרו לצפון קוריאה, נמצא שמתוך כ-170 מיליון דולר, הערך של המטבעות בחשבונות ירד לכ-65 מיליון דולר מאז דצמבר 2021.
מומחים מסבירים שלמרות הקריסה, שוק הקריפטו הוא הזדמנות טובה מדי עבור המשטר מכדי שיוותר על השימוש בו. היתרון העיקרי הוא הקלות היחסית בה ניתן לתקוף את החברות בתחום - בעיקר בגלל ההשקעות הנמוכות בהגנות סייבר מתוך מחשבה שההצפנה של המטבעות מספיקה כדי להגן עליהם. בנוסף, מטבעות קריפטו קשים הרבה יותר למעקב מכסף רשמי.
השימוש בעובדי IT כדי לממן את המשטר מקיף כמעט את כל תחומי עולמות הטכנולוגיה - מחברות לסליקת אשראי, חברות השמה ואפילו שירותי ייעוץ. בנוסף מגיפת הקורונה המשתוללת במדינה המבודדת חייבה אותה להסתמך יותר מאי פעם על צבא העובדים הזרים שלה. אבל ב-FBI גם מבצעים מעקב אחרי אזרחים אמריקאים שעשויים להתפתות ולעבוד עבור פיונגיאנג. באפריל האחרון, מפתח אמריקאי בשם וירג'יל גריפית' נידון לחמש שנות מאסר על הפרת סנקציות לאחר שהרצה שם בכנס בלוקצ'יין ב-2019 על שיטות לעקוף אותן.
גם צבא ההאקרים הצפון קוריאני כבר הפך לסוג של אגדה בתחום. אלה מגיעים לרוב ממוסדות אקדמיה ונבחרים על בסיס הציונים שלהם במדעים, מתמטיקה והנדסה. הם מנותבים לתפקידי סייבר - מעין סופר יחידת 8200 צפון קוריאנית. הכישרון של ההאקרים מנוצל כאמור למטרות פריצה וגניבה, ולא לשם הגנה. כך למשל יחידה כזו פרצה במרץ שעבר לחברת גיימינג ויאטנמית וגנבה מטבעות קריפטו בהיקף של כ-600 מיליון דולר. גם פריצה לחברת הקריפטו האמריקאית אליפטיק (Elliptic) שהניבה כ-100 מיליון דולר ככל הנראה בוצעה על ידם.
"הבעיה העיקרית עם רוב חברות הקריפטו האלה היא שהם לא נדרשים לרגולציות סייבר כמו בנקים ומוסדות פיננסיים", אומר פרד פלאן, אנליסט ראשי בחברת מודיעין הסייבר מנדיאנט שצפויה להירכש בידי גוגל. הוא מתאר כיצד המערך פועל: עובדי ה-IT מספקים את הלוגיסטיקה עבור ההאקרים ומאפשרים העברה והלבנה של כסף שנגנב מבורסות קריפטו וחברות אחרות. במקביל עובדים בחברות קריפטו מקימים רשת של חשבונות שמאפשרת להעביר את הכסף ממקום למקום ולטשטש את העקבות. ניתן למשל להשתמש במשכורות או בחשבונות בנק פרטיים של העובדים הצפון קוריאנים למטרה זאת.
עם זאת מדובר לפי הערכות בקהילה קטנה למדי. "כמה אלפי עובדים בלבד שלהם אישור להיות בקשר עם גורמים מערביים ולחיות שם", אומר ניק קרלסן לשעבר אנליסט ב-FBI, "הם מכירים אחד את השני וגם אם עובד IT אינו האקר - הוא מכיר אחד כזה כמעט בוודאות". הם משתפים את ההאקרים בחולשות שהם מוצאים בחברות המערביות המאפשרות להם לאחר מכן לבצע את החדירות. הם גם מנצלים את העובדה שפעמים רבות תהליכי הגיוס מתחילים בפלטפורמות כגון לינקדאין. כך למשל ב-2019 גילו חוקרי חברת הסייבר ESET שהאקרים כאלה התחזו למגייסים ברשת החברתית המקצועית של מיקרוסופט תוך ניסיון למשוך עובדים בשתי חברות אירופאיות בתחום התעופה להעביר להם מידע על מקומות העבודה שלהם.
בלינקדאין עובדים קשה כדי לזהות משתמשים כאלה ובחברה מדגישים שיש להם חטיבת מודיעין פנימית שכל תכליתה הוא לעקוב אחר ניסיונות כאלה. "אנחנו לא ממתינים לבקשות הסרה, אנחנו משתמשים במגוון מקורות מידע כולל מסוכנויות ממשלתיות כדי לזהות חשבונות מזויפים ולהסיר אותם", אומרים שם. בכל מקרה, המטרה הבאה של צבא ההאקרים הוא כנראה פלטפורמת האת'ריום, כך לפי הערכת מנדיאנט, "הם לא מתכוונים להפסיק. המדינה שלהם במצוקה ואפילו אם הם לפעמים מפספסים כיום, הם עובדים קשה כדי לשפר את היכולות שלהם ולהצליח להשתחל למקומות בלי שיזהו אותם".