ניו יורק טיימס: למרות ההכחשות, התקיפה על מערכות ביטחוניות ישראליות הצליחה. חשש שהמידע זלג לאיראן
לפי הדיווח של חברת הסייבר קלירסקיי תקיפת הסייבר שכוונה נגד התעשיות הביטחוניות וסוכלה לטענת משרד הביטחון, היא חלק מקמפיין מתמשך של קבוצת הסייבר לזרוס, שפעילותה מיוחסת לצפון קוריאה
משרד הביטחון פרסם אמש (ד') הודעה ובה אמר שהצליח לסכל תקיפה של מדינה זרה על התעשיות הביטחוניות הישראליות. ואולם, הלילה (ה') פרסם הניו יורק טיימס דיווח על כך שבניגוד לטענת משרד הביטחון, תקיפת הסייבר שסוכלה למעשה כן הצליחה לחדור למחשבים של חלק מהקורבנות. עם זאת לא ברור איזה נזק נגרם או אילו נתונים נגנבו. חברת הסייבר הישראלית קלירסקיי, מסרה שלפי בדיקה שביצעה זיהתה תריסר פריצות בעולם ושתי התקנות נוזקה בישראל.
התקיפה, שבוצעה על ידי קבוצת לזרוס שפעילותה מזוהה עם צפון קוריאה ושכוונה נגד התעשיות הביטחוניות היא חלק מקמפיין מאורגן ומתמשך. רוב מומחי סייבר מתייחסים לקבוצת לזרוס כבר שנים כזרוע של סוכנות הביון הצפון קוריאנית. צבאו של קים ג'ונג און מחזיק בחיל של כ-6,000 האקרים פעילים. על פי מידע שהגיע לידי כלכליסט מגורמים בתעשיית הסייבר הישראלית הקבוצה מנהלת את הקמפיין שלה מזה כשנתיים והמטרות כוללות מדינות במערב אירופה, צ'ילה וכמובן מדינות אסייתיות.
החשש הוא שההאקרים הצפון קוריאנים העבירו מידע רגיש לאיראן. הרפובליקה האיסלמית כבר ניסתה לתקוף תשתיות קריטיות בישראל בחצי השנה האחרונה, ולפי הדיווחים אף חדרה למחשב של חברת מקורות. זמן קצר לאחר מכן דווח שפעילות אחד הנמלים הגדולים, שאהיד ראג'אי באיראן הושבתה עקב תקיפת סייבר במאי שעבר שעל פי פרסומים זרים יוחסה לישראל. לא ברור אם ישנו קשר בין הפעולות הללו, אך מכיוון שהקמפיין של צפון קוריאה כנראה נועד לריגול ולא פגיעה פיזית, כך שיכול מאוד להיות שאינו קשור ישירות לדיווחים האלה.
הקמפיין הנוכחי שתקף גם את ישראל זוהה כבר לפני חודשיים בידי חברת הסייבר הסלובקית ESET והמידע אודותיו הועבר לכל הגורמים הרלוונטים. תקיפות קבוצת לזרוס מיועדות לשתי מטרות עיקריות, גניבת מידע וכסף. פעילות הקבוצה משמשת כאמצעי להכנסת מטבע זר לפיונגיאנג. השימוש בלינקדאין נובע מכך שקל מאוד להעביר הודעות ברשת החברתית ולהסוות נוזקות סייבר במסמכים שמועברים במסגרתה.
בשנים האחרונות נחשפו מספר חולשות במנגנוני האבטחה של לינקדאין שאיפשרו זאת ושתוקנו מאז. לא ברור אם הקמפיין הנוכחי עשה שימוש בחולשות האלה או באחרות חדשות יותר ושעדיין לא תוקנו. לדברי חוקרי הסייבר של ESET, הקבצים הועברו ישירות דרך לינקדאין או באמצעות מייל המכיל קישור OneDrive אשר בשבילו יצרו התוקפים חשבונות מייל מתאימים לפרסומות המזויפות שלהם בלינקדאין.
ברגע שהנמען פתח את הקובץ, הוצג מסמך PDF תמים לכאורה עם מידע על השכר המוצע לעבודה המזויפת. בדרך זו למעשה הוחדרו נוזקות על המחשב של הקורבן והתוקפים השיגו דריסה רגל ראשונית למערכת. בשלב הבא התוקפים ביצעו תקיפות ממוקדות נגד חברות תעופה וחלל אירופיות. בין הכלים בהם השתמשו היתה אפליקציה זדונית רב שלבית ובהתאמה אישית שהתחזתה לתוכנה לגיטימית וגרסאות שונות של כלי פתוח. בנוסף הם גם השתמשו לרעה בכלי השירות של ווינדוס לביצוע פעולות נוספות.
"ההתקפות שחקרנו הראו את כל הסימנים של פעולות ריגול, עם מספר רמזים המצביעים על קשר אפשרי לקבוצת ההאקרים לזרוס הידועה לשמצה. עם זאת, לא ניתוח התוכנות הזדוניות ולא החקירה עצמה אפשרו לנו לקבל תובנות לאילו קבצים כיוונו התוקפים", הוסיפו בקלירסקיי. בנוסף לפעולות הריגול, חוקרי ESET מצאו ראיות לכך שהתוקפים ניסו להשתמש בחשבונות שנפרצו כדי לגנוב כסף מחברות אחרות.