דוח: כ-240 מיליון שקל נגנבו משתי בורסות קריפטו ישראליות בשנתיים האחרונות

קבוצה של פושעי סייבר ממזרח אירופה, הפועלת מאז מאי 2018, גנבה מטבעות דיגיטליים בשווי יותר מ-170 מיליון דולר מזירות מסחר בכמה מדינות בעולם, ובהן ישראל • הממצאים נחשפים לראשונה בדוח שמפרסמת חברת אבטחת הסייבר קלירסקיי

גניבת מטבעות דיגיטליים / אילוסטרציה: shutterstock, שאטרסטוק
גניבת מטבעות דיגיטליים / אילוסטרציה: shutterstock, שאטרסטוק

לידיעת יחידת הסייבר של משטרת ישראל: מטבעות דיגיטליים בשווי עצום של כ-70 מיליון דולר (כ-240 מיליון שקל) נגנבו משתי בורסות קריפטו ישראליות בשנתיים האחרונות על ידי קבוצה של עברייני סייבר ממזרח אירופה. המידע הזה עולה מדוח חדש שמפרסמת היום חברת אבטחת הסייבר הישראלית Clearsky. על פי ממצאי הדוח, הגניבות שביצעה אותה קבוצת האקרים מזירות מסחר בעולם מאז מאי 2018 ועד היום, הסתכמו ביותר מ-170 מיליון דולר - מתוכם כ-40% מזירות שפעילותן מנוהלת מישראל.

במחקר שערכה קלירסקיי (החברה מפרסמת את הדוח המלא באתר שלה), היא חושפת לראשונה פרטים אודות פעילותה של אותה קבוצה של פושעי סייבר מזרח אירופיים ואודות שיטות הפעולה והיקפי הנזק שנגרם כתוצאה ממתקפותיה. לדברי קלירסקיי, "המגזר הפיננסי, ובפרט בורסות קריפטוגרפיות וחברות פינטק ברחבי העולם, נהפכו ליעד המרכזי והמאוים ביותר ממתקפות סייבר שמטרתן גניבת כספים. לכן, לחשיפת הקבוצה ודרכי הפעולה שלה יש חשיבות מכרעת בהתגוננות ממתקפות דומות עתידיות".

בשיחה עם "גלובס" אמר בועז דולב, מנכ"ל קלירסקיי, כי אחת הבעיות העיקריות של בורסות הקריפטו בישראל ובמדינות רבות בעולם, היא שהן פועלות ללא פיקוח רגולטורי, ובאופן רשמי, אינן נדרשות לעמוד בתקני אבטחה כלשהם. לדבריו, "זה אומר שלקוחות הבורסות האלה נמצאים בחשיפה מטורפת לסיכוני אבטחה".

"המעקב שלנו אחר קבוצת פושעי הסייבר ממזרח אירופה, שאותה אנו מכנים CryptoCore, נמשך קרוב לשנתיים. עיקר פעילותה של הקבוצה היה נגד בורסות למטבעות דיגיטליים וחברות שעובדות עמן, לרוב מיפן ומארה"ב", אמר דולב. "על פי ניתוח המתקפות, אמנם לקבוצה אין יכולות טכניות מתקדמות, אבל היא פועלת בשיטתיות, לאורך זמן ובשילוב תשתית מודיעינית שהוכנה מראש. כך הצליחה הקבוצה לגרוף מאז מאי 2018 כ-70 מיליון דולר במתקפות בישראל ויותר מ-100 מיליון דולר בעולם".

קלירסקיי מציינת בדוח כי רוב המתקפות שבוצעו על ידי קבוצת CryptoCore כוונו נגד בורסות קריפטו הפועלות מיפן ומארה"ב. הדוח אינו חושף את שמותיהן של בורסות הקריפטו שנפרצו בעולם ובישראל. עם זאת, ב"גלובס" התפרסמו ב-2018 דיווחים על שתי חברות ישראליות שבורסות הקריפטו שלהן נפרצו. ביולי 2018 נפרצה בורסת הקריפטו Bancor, שדיווחה כי נגנבו ממנה מטבעות קריפטו בשווי כ-23.5 מיליון דולר. כשלושה חודשים לאחר מכן דווח על פריצה לבורסת הקריפטו Trade.io, שממנה נגנבו מטבעות דיגיטליים בשווי כ-8 מיליון דולר. לאחר הדיווחים על אותן פריצות, בשוק הקריפטו הועלו הערכות שלפיהן היקפי הנזק בשני המקרים האלה היו גדולים באופן משמעותי מכפי שדווחו על ידי החברות הישראליות.

ביום רביעי שעבר, כפי שפרסמנו באתר "גלובס", דיווחה בנקור כי הצליחה לזהות פירצת אבטחה במערכת שלה, להוציא מטבעות דיגיטליים בשווי של 455 מיליון דולר שהוחזקו בחשבונות שהיו חשופים לאותה פירצה - ולהעבירם לארנק דיגיטלי בטוח. בכך, ככל הנראה, ניצלה בורסת הקריפטו הישראלית מפריצה שנייה בתוך ארבע שנות פעילות.

תמרורי אזהרה לזיהוי תקיפות עתידיות

לדברי דולב, מנכ"ל קלירסקיי, "המטרה העיקרית של קבוצת פושעי הסייבר CryptoCore היא להשיג גישה לארנקי הכסף דיגיטליים, בין אם מדובר בארנקים של הבורסה ובין אם בארנקים פרטיים השייכים לעובדי החברה. כחלק מתהליך התקיפה, הקבוצה ביצעה איסוף מודיעיני מקיף על הבורסות שאותן תקפה, כולל השגת מידע על העובדים והמנהלים הבכירים של הבורסות.

"לאחר מכן, תוך התחזות מושקעת למנהלים אחרים או ניצול הרשאות שהודלפו, חדרו התוקפים למערכות המחשוב הארגוניות על ידי דיוג (פישינג) לחשבונות המייל האישיים של מנהלי הבורסה. לעתים, כדי לגנוב את המפתחות לארנקי הקריפטו, המתינו התוקפים בסבלנות להזדמנות מתאימה במשך שבועות וחודשים, עד שהצליחו לחשוף מידע קריטי שאיפשר להם לבצע את הגניבה".

חוקרי קלירסקיי זיהו כמה מאפיינים חוזרים בטכניקת התקיפה של קבוצת CryptoCore, שעשויים לשמש "תמרור אזהרה" לזיהוי תקיפות עתידיות. מאפיין אחד הוא שימוש בדומיינים של אתרי חברות מובילות בתחום, כמו למשל, btcprime.tk או krypitalvc.com; מאפיין שני הוא שימוש בשירותים המקצרים את כתובת ה-URL כדי להסוות קישורים נגועים שמובילים להדבקה וגם מאפשרים לעקוב אחר קצב ההדבקה; מאפיין שלישי הוא הטמנת קישורים המובילים להדבקה והורדת קבצים במסמכי טקסט ולוגואים; ומאפיין נוסף הוא ניצול הדלפות ידועות של הרשאות במהלך השנים האחרונות, במטרה לחדור לחשבונות המייל של העובדים הקריטיים ולפרוס משם את כלי התקיפה של ההאקרים.

חוקרי קלירסקיי, שעקבו אחרי פעילותה של קבוצת פושעי הסייבר בשנתיים האחרונות, מציינים בדוח כי הם לא הצליחו לזהות באופן חד משמעי את מקום הימצאם של פעילי הקבוצה. עם זאת, לדבריהם, "אנו מעריכים ברמת ודאות בינונית כי לשחקנים הפעילים במתקפות אלה יש קשרים באזור מזרח אירופה, ובעיקר באוקראינה וברוסיה".

בשיחה עם "גלובס" ציין דולב כי "בניגוד לבנקים, שבמשך יותר מ-100 שנה פיתחו מערכות להגנה על חשבונות הלקוחות שלהם, חברות הקריפטו הצעירות מפגרות בהבנה של צורכי האבטחה על כספי הלקוחות". לכן, לדבריו, "מי ששומר כיום מטבעות דיגיטליים בארנקים של בורסת קריפטו כלשהי, בישראל או בעולם, מעמיד את הכספים האלה בסיכון גבוה מאוד". 

רוצים להתעדכן בענייני בלוקצ'יין ומטבעות דיגיטליים? הצטרפו לערוץ הטלגרם קריפטו גלובס.

יומן קורונה:
ניוזלטר יומי על כל מה שצריך לדעת
הרשמה
הרישום נכשל
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988