מצוינים ומסוכנים: צבא ההאקרים של צפון קוריאה

טביעות אצבעותיה של המדינה הקומוניסטית ניכרו באחרונה בהתקפות סייבר מתוחכמות שמעידות על שיפור דרמטי במיומנות של פצחני המחשבים

קים ג'ונג און / צילום: רויטרס
קים ג'ונג און / צילום: רויטרס

צבא הסייבר של צפון קוריאה, שנחשב זמן רב לאיום ביטחוני ברמה בינונית, הופך בצנעה לאחד ממנגנוני הפצחנות המתוחכמים והמסוכנים ביותר בעולם.

בשנה וחצי האחרונות, טביעות האצבע של צפון קוריאה הופיעו במספר גדל והולך של התקפות סייבר, רמת המיומנות של ההאקרים (פצחנים) השתפרה במהירות, והיעדים שלהם הפכו למדאיגים יותר, לפי בדיקה של ה"וול סטריט ג'ורנל". בחודש שעבר פרצו ההאקרים הללו כנראה לבנקים טורקיים, ולמערכות המחשוב של אולימפיאדת החורף, לפי מומחים.

במשך שנים, מומחי סייבר ראו בצפון קוריאה כוח פצחני ממעלה שנייה, שהתקפותיו היו פוגעניות אבל קלות יחסית לבלימה. החוקרים דירגו את היכולות המבצעיות של ההאקרים מצפון קוריאה כנחותות בהשוואה ליכולות של מדינות כמו רוסיה, ישראל וארה"ב.

הימים הללו חלפו כנראה, ופיונגיאנג מפגינה רמות של מקוריות בקידוד ובטכניקות שלה, שהפתיעו חוקרים. היא גם מראה נכונות לתקוף יעדים כמו בנקים מרכזיים ונקודות מכירה. כאשר מדינה זו נערכת למו"מ אפשרי עם וושינגטון על הקפאת תוכניתה הגרעינית, יכולות ההאקרים שלה עשויות לסייע לה לייצר כסף לפיצוי על עיצומים כלכליים, או לאיום על מוסדות פיננסיים זרים.

כדי להעריך את תוכנית הסייבר הזו, העיתון ריאיין עשרות עריקים מצפון קוריאה, חוקרי אבטחת סייבר זרים, יועצים לממשלת דרום קוריאה ומומחים צבאיים. החוקרים מדגישים שלכידת האקרים היא משימה קשה, ושהם אינם יכולים להיות בטוחים ב-100% שכל התקפה שמיוחסת לצפון קוריאה אכן בוצעה על ידה.

המומחים מצביעים על סימנים רבים לשיפור ביכולת של ההאקרים הקוריאנים. הם תוקפים תקלות אבטחה בתוכנות פופולריות כבר כמה ימים אחרי שהתקלות מופיעות לראשונה, ויוצרים קודים זדוניים כה תקדימיים, שתוכניות האנטי וירוס אינן מזהות. כשחברות התוכנה או האבטחה סותמות את הפרצות, ההאקרים מסתגלים למצב החדש בתוך כמה ימים או שבועות, ומכווננים את התוכנה הזדונית שלהם כפי שאפל מבצעת שינויים קלים במערכת הפעלה חדשה של אייפון.

האקרים צפון קוריאניים רבים משתמשים באנגלית מושלמת, או מכניסים שפות נוספות לקודים שלהם, כדי לגרום להם להיראות כאילו הפריצות הגיעו ממדינה אחרת, מעריכים החוקרים. והם זוכים במוניטין של חדשנות בפריצות לטלפונים חכמים, כשהם מסתירים וירוסים ביישומים של כתבי קודש, או משתמשים בפייסבוק כדי לזהם מטרות.

החוקרים אומרים שסימנים מסגירים קבורים עמוק בתוכנות הזדוניות ובקידוד: מילים קוריאניות שמשתמשים בהן רק בצפון, שימוש בשרתי נתונים שקשורים בדרך כלל להאקרים מפיונגיאנג, וקבצים שנוצרו על ידי שמות משתמשים שקשורים להאקרים במדינה הזו.

דפוסים שמובילים לפיונגיאנג

ארה"ב וממשלות נוספות מאשימות בפומבי את צפון קוריאה בסדרה של חדירות למערכות מחשבים בחודשים האחרונים, כולל WannaCry, כשהם מצביעים על דפוסי פעולה בקידוד ועל טכניקות שמובילות לדבריהם לפיונגיאנג. פקידים דרום קוריאנים מעריכים שארצם מותקפת כנראה על ידי 1.5 מיליון ניסיונות חדירה יומיים של האקרים צפון קוריאנים, כלומר 17 ניסיונות בשנייה.

ההתקדמות בעולם הסייבר הצפון קוריאני מקבילה לפריצת הדרך שרשמה מדינה זו בטכנולוגיית טילים מאז עלייתו לשלטון של קים ג'ונג און ב-2011.

התקפות רבות שחשודות כצפון קוריאניות מתרחשות ללא יעד ברור. כמה חוקרים תיארו זאת כרשת של פשע מאורגן שמחפשת כל חולשה כדי ללמוד ממנה על האויב או להניב רווחים. החוקרים מסכימים באופן כללי שהתוכנית הצפון קוריאנית הופכת לממוקדת יותר בהשגת מודיעין צבאי או ביצירת הכנסה כאשר העיצומים מתהדקים והדיונים עם ארה"ב מתקרבים.

"יכולות פצחנות מעניקות להם קלפים חזקים בהרבה סביב שולחן הדיונים", אומר רוס רסטיסי, מנהל אבטחת סייבר בחברת Cybereason, שהיה בעבר אנליסט במשרד ההגנה האמריקאי.

מטבעות דיגיטליים כאלו הם כנראה יעד מועדף של צפון קוריאה. בשנה שעברה, האקרים משם כנראה החלו לפתוח פרופילים מזויפים בפייסבוק, שהציגו את עצמם כנשים צעירות מושכות שמתעניינות בביטקוין או עובדות בתעשייה הזו, לפי בדיקה שערכה דרום קוריאה. הנשים הללו כביכול חיפשו חברויות עם גברים בבורסות של מטבעות מוצפנים.

ההאקרים שהתחזו לנשים פיתו גברים לפתוח יישומים או דפי מסמכי וורד של מיקרוסופט, שהוסוו ככרטיסי ברכה או הזמנות, והציפו את המחשבים והמערכות שלהם בווירוסים ובחומרים זדוניים.

תוכנית הפצחנות של צפון קוריאה קיימת לפחות ממחצית שנות ה-90, כאשר המנהיג דאז, קים ג'ונג איל, הכריז ש"כל המלחמות בשנים הבאות יהיו מלחמות מחשבים".

ההאקרים הצפון קוריאנים עלו לכותרות ב-2014, כשהם הפילו את מערכות המחשבים של אולפני הסרטים של סוני, מחקו נתונים של החברה וחשפו לציבור כמות גדולה של אימיילים פנימיים. ההתקפה עצמה, אומרים כעת מומחי אבטחת סייבר, התבססה על "מחק", כלי זמין מאוד ולא מתוחכם.

ההתקפות הראשונות השתמשו בכלים ובקידוד ידועים, אך פיונגיאנג ניסתה ללמוד מהאקרים טובים יותר בחו"ל, אומר סיימון צ'ואי, יועץ לממשלת דרום קוריאה. חשבונות פייסבוק וטוויטר עקבו אחרי האקרים סינים, והקליקו "לייקים" על דפים של ספרי הדרכה לכתיבת קודים זדוניים למכשירים ניידים. כמה צפון קוריאנים נרשמו לקורסים מקוונים שהוצעו בדרום קוריאה לפיצוח סמארטפונים, לפי צ'ואי.

צפון קוריאה שתלה מתכנתים בחו"ל, במקומות שהם יכולים להתחבר בקלות יחסית למערכת הפיננסית העולמית, אומרות חברות אבטחה. Recorded Future, חברת אבטחה, אומרת שהיא עקבה אחרי פעילות עם טביעת אצבע צפון קוריאנית במקומות כמו סין, הודו, ניו-זילנד ומוזמביק.

חברת McAfee אומרת שלוחמי סייבר צפון קוריאנים גילו בדצמבר בתוך שבעה ימים בלבד כלי פיצוח חדש של מקור פתוח שנקרא Invoke-PSImage. הכלי הזה שימש אותם לתקוף ארגונים שהיו קשורים לאולימפיאדת החורף שהתקיימה בסין. לפי McAfee, הפצחנים השתמשו בכלי הזה כדי לבנות הורדה של תוכנה זדונית שעקפה את רוב תוכנות האנטי-וירוס.

אזרחים מיוחדים, שמקבלים דירות ופטור משירות צבאי

צפון קוריאה מטפחת את פצחני העילית שלה כפי שמדינות אחרות מאמנות ספורטאים אולימפיים, לפי עריקים ומומחי סייבר בדרום קוריאה. תלמידים מבטיחים מזוהים כבר מגיל 11 ומופנים לבתי ספר מיוחדים, שבהם הם לומדים את סודות הפצחנות ואיך לפתח וירוסים ממוחשבים.

"מי שנבחר להגיע ליחידת סייבר, מקבל תואר שהופך אותו לאזרח מיוחד, שלא צריך לדאוג למזון ולצרכים בסיסיים", אומר עריק שמכיר את מערכת ההכשרה של צפון קוריאה.

עריקים ומומחי סייבר מדרום קוריאה אומרים שחניכי תוכנית ההאקרים של פיונגיאנג מקבלים דירות גדולות יחסית בבירה, ופטור משירות החובה הצבאי.

אחד העריקים מצפון קוריאה אומר שהוא קיבל הכשרה כזו, ומתאר הכנות מדוקדקות לתחרויות "האקתון" שנתיות בפיונגיאנג, שבהן קבוצות של סטודנטים/תלמידים למדו לפתור פאזלים ובעיות של האקרים בלחץ זמן גדול.

"שישה חודשים, יום לילה, התכוננו רק לתחרות הזו", הוא אומר. "כולם חלמו להיות חלק מהדבר הזה", הוא הוסיף.

המצטיינים, לדבריו, קיבלו משימות של גניבת כספים מאתרים של בנקים זרים, או התקפה על רשתות מחשבים של מודיעין במדינות כמו ארה"ב.

"כדי לשמור על התוכנית הגרעינית, לבנות עוד כלי נשק ולקיים את המשטר הצפון קוריאני, נחוצות כמויות גדולות של מטבע קשה, ולכן התקפה על בנקים היא בעדיפות גבוהה", הוא אומר.

כמה תלמידים נשלחים לחו"ל כדי לשלוט בשפות זרות או להשתתף בתחרויות האקרים בינלאומיות במקומות כמו הודו וסין, שבהן הם מתחרים בהאקרים מרחבי העולם.

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988