| לאחר מתקפת הסייבר שהתרחשה לפני כשבועיים, בה הופצה תוכנת הכופר WannaCry, נמצאו רמזים הקושרים את מתקפת הכופר המסיבית לקבוצת האקרים שנקרא לזרוס. קבוצת לזרוס נחשבה ליחידה הפועלת מחוץ לצפון קוריאה, אבל עכשיו מומחים מתאגיד סימנטק (תאגיד תוכנה המתעסק באבטחה ובניהול מידע) מאמינים שהם מצאו הוכחות הקושרות קשר הדוק בין קבוצת לזרוס לתוכנת הכופר WannaCry.
הנקודה הראשונה שקושרת את לזרוס למתקפת הכופר של תוכנת WannaCry, היא זיהוי קווי דמיון בדפוסי הקידוד במתקפת הכופר האחרונה, לבין אירועים אחרים אשר מאמינים כי קבוצת לזרוס אחראית עליהם, וביניהם – שוד בנק שהתרחש בבנגלדש בסך 81 מיליון דולר, ומתקפת הסייבר שהייתה על חברת Sony Pictures בשנת 2014 – בה נפרץ מידע חסוי של החברה, לאחר שזו הפיקה סרט קומדיה בו זוממים לרצוח את שליטה של צפון קוריאה קים ג'ונג און. הדמיון בין דפוסי הקידוד עלה לאחר שחוקר אבטחה בגוגל, ניל מטה, פרסם לינקים לשתי דגימות של תוכנות נוזקה – האחת של תוכנת הכופר WannaCry והשניה של נשק הסייבר של קבוצת לזרוס, ה-Contopee – סוס טרויאני הפותח "דלת אחורית" – תוכנה המאפשרת גישה מלאה לפורץ למחשב שלך ללא ידיעתך.
נמצאו הוכחות הקושרות קשר בין לזרוס לתוכנת הכופר WannaCry | צילום: Fotolia
יום לאחר מכן, סימנטק אמרה שהחוקרים שלה מצאו הוכחה לכך שגרסאות מוקדמות יותר של תוכנת WannaCry, הזהות כמעט לחלוטין לאלו הקשורות למתקפה שהיתה לפני כשבועיים, היו בשימוש במספר קטן של מטרות תקיפה. סימנטק טענה כי "הגרסאות המוקדמות יותר של התוכנה היו בעלות דפוסי היכר דומים לאלה של המתקפות הקודמות של קבוצת לזרוס, מה שאומר שישנה סבירות גבוהה מאוד שלזרוס נמצאת מאחוריי מתקפת תוכנת WannaCry".
עם זאת, סימנטק ציינה כי המתקפות "לא נשאו עמן את סימני ההיכר של קמפיין הלאום הצפון קוריאני, אלא יותר הזכירו קמפיין טיפוסי של פשעי סייבר". מתקפת הסייבר האחרונה פגעה ביותר מ-200 אלף מחשבים, כולל מספר עצום של מערכות ומכשור רפואי בבתי חולים בבריטניה, ודרשה מקורבנותיה דמי כופר בסך 300 דולר בביטקוין, שאם לא ישולם – כל המידע שנפרץ ימחק. בינתיים, ההאקרים הרוויחו קצת יותר מ-100 אלף דולר בביטקוין, אך עדיין לא ברור אם הם יפדו אותם.
רמזים חדשים
בסימנטק טענו כי רמז חדש וחשוב מאוד הקושר קשר בין לזרוס ל-WannaCry היה גילוי שתי גרסאות של Destover (כלי למחיקת דיסק ששימש בהתקפה על סוני), שנמצאו ברשת של קורבן WannaCry בעבר. כלי נוסף בשם Volgmer – תוכנת נוזקה בה השתמשה לזרוס בהתקפות על מטרות בדרום קוריאה – נמצא גם הוא על מחשבים אישיים של אותו הקורבן. ההתקפה הזו של לזרוס התרחשה ב-10 בפברואר השנה, כאשר 100 מחשבים היו נגועים במהירות ב-WannaCry. שם קורבן המתקפה לא פורסם.
יתרה מכך, סימנטק טענו כי "דלת אחורית" שנקראת Alphanc הייתה לעזר בהפצת תוכנת WannaCry במתקפות סייבר שאירעו בחודשים מרץ ואפריל. באופן אירוני, Alphanc התגלתה כגרסה מחודשת לתוכנה אשר לזרוס השתמשו בה כ"דלת אחורית" בעבר והיא נקראת dubbed Duuzer.
לזרוס ככל הנראה תקפה בנוזקה ממוחזרת | צילום: Fotolia
אמנם הגרסאות הקודמות של WannaCry לא השתמשו באותם אקספלויטים (קטע תוכנה המנצל פרצת אבטחה או באג בתוכנה או בחומרה), אשר פותחו על ידי הסוכנות לביטוח לאומי, בהתקפה האחרונה החודש, אבל סימנטק טענה כי הסיסמאות בהן השתמשו כדי להצפין את המידע היו זהות בכל הגרסאות של WannaCry. דבר זה מהווה אינדיקציה נוספת לפיה "האחראי לגרסאות השונות של WannaCry הוא אותו אדם", טענו סימנטק.
אי אפשר להתעלם
לפי אדריאן ניש, ראש צוות סייבר בחברת BAE Systems (חברה ביטחונית בריטית בינלאומית למוצרי ביטחון ואוויוניקה), הממצאים של סימנטק התמזגו היטב עם אלו שלו. ניש והקולגות שלו עוקבים אחר קבוצת לזרוס מזה זמן רב, ולאחרונה גילו כי היא ממומנת על ידי השלטון הצפון קוריאני. ניש אמר כי "זוהי הוכחה דיגיטלית השקולה לטביעות אצבע בזירת פשע – זה לא אומר שהתיק נסגר, אבל מדובר בהוכחות משמעותיות שלא ניתן להתעלם מהן. ההסבר ההגיוני היחיד שניתן לתת לגביי כל המידע הזה הוא או שמדובר באותם ה"שחקנים" שמבצעים את המתקפות, או שמישהו "שותל" הוכחות כדי להפליל את קבוצת לזרוס. לזייף הוכחות כאלה זה מאוד קשה מבחינה טכנית, ועם זאת, הממצאים הנסיבתיים דווקא מצביעים על לזרוס כאחראית למתקפות".
|
|
