שתף קטע נבחר

"הצבא שגונב כסף כדי למלא את קופת המדינה"

לאורך שנים בנתה צפון קוריאה מערך סייבר מתקדם, שאחד מיעדיו הוא גניבת כסף כדי למלא את קופתה. השיטה: פיזור תאי האקרים רדומים ברחבי העולם הממתינים לפקודה. והפעולה האחרונה: מתקפת כופר על מאות אלפי מחשבים. הכירו את צבא הפצחנים של פיונגיאנג

אף אחד עדיין לא מוכן לומר זאת באופן נחרץ או סופי, אבל כל הסימנים מעידים על כך שהצפון קוריאנים הם שאחראים למתקפת הכופר שהדביקה מאות אלפי מחשבים ברחבי העולם בווירוסים לפני כשבועיים.

 

מספר רמזים שהסתתרו במעמקי הקוד של תוכנת הכופר Wannacry חשפו לכאורה את מקורה. חברות אבטחת מידע טענו כי חלקים מהקוד שהופיעו בה זוהו בעבר בתוכנות שפותחו על ידי "קבוצת לזרוס", קבוצת האקרים שככל הנראה מופעלת על ידי המשטר הצפון קוריאני.

 

אילוסטרציה (צילום: shutterstock) (צילום: shutterstock)
אילוסטרציה(צילום: shutterstock)

 

זו לא מתקפת הסייבר היחידה בשנים האחרונות שיצאה מצפון קוריאה. בכך היא לא שונה ממדינות כמו סין, רוסיה, ישראל (לפי פרסומים זרים), ארה"ב, איראן ואחרות, שעושות שימוש בכלי סייבר מתקדמים לצורך ריגול ופגיעה בתשתיות מדינות אויב. אך המניעים, השיטות, האידיאולוגיה וההתפתחות של מערך הסייבר של המדינה הדיקטטורית הופכים אותו ליוצא דופן.

 

הישענות עצמית

צפון קוריאה היא מדינה מסוגרת ומבודדת, וכפי שהיא מנותקת מהעולם מבחינה כלכלית, פוליטית ותרבותית, כך גם היא מנותקת טכנולוגית. האזרחים אינם מחוברים לאינטרנט, אלא רק למערכת אינטרנט פנימית מפוקחת. רק לקומץ אליטות יש גישה לאינטרנט החיצוני. על המחשבים במדינה תמצאו מערכת הפעלה בשם "הכוכב האדום", שנתפרה במיוחד על ידי הממשל עצמו בהוראת השליט העליון הקודם, קים ג'ונג־איל. יש רק רשת סלולרית אחת, ללא אינטרנט, גם היא בפיקוח הדוק של המשטר.

 

ובכל זאת, צפון קוריאה הצליחה לאורך השנים להקים מערך סייבר טכנולוגי מתקדם ומרשים מאוד גם בקנה מידה מערבי.

 

"צפון קוריאה גיבשה אסטרטגיה לפיה יכולות הסייבר מאפשרות לה לפעול מול יריבים חזקים ועדיפים ממנה, וגם לנצח ולהוריד את אויביה על הברכיים. מבחינתם זו הדרך לקזז את הנחיתות הצבאית מול המערב", מסביר ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וכיום ראש תחום הסייבר ב־HIT מכון טכנולוגי חולון. "הרמה שהם הגיעו אליה מאוד גבוהה".

 

 

מערך הסייבר של צפון קוריאה מסתמך על אחת האידיאולוגיות הלאומיות המרכזיות שלה, שמכונה ג'וצ'ה, "ההישענות העצמית".

 

סנז ישר, ראש קבוצת המודיעין בחברת "סייבריזן", פירסמה לאחרונה מסמך מחקרי על מאמץ הסייבר הצפון קוריאני. היא מסבירה כי "האידיאולוגיה הזו נוסדה תחת שלטונו של השליט קים איל-סונג ב-1955 וזכתה מאז למעמד של דוקטרינה מחייבת. אידיאולוגיה זו מתבטאת בכל ההיבטים בחייו של האזרח הצפון קוריאני, והיא מקדשת את העצמאות והריבונות של אזרחי צפון קוריאה וקוראת להם להיות אדונים לגורלם, ולא להיות תלויים או נתונים לחסדיהם של כוחות חיצוניים. הביטוי העיקרי לכך בתחום הסייבר הוא שכלל הכלים והיכולות של צפון קוריאה נכתבו מהיסוד, ללא הסתמכות על כלים קיימים או מסחריים. האזוטריות של כלים אלו הציבה אתגר משמעותי, שכן התוקפים הצפון קוריאנים השתמשו ביכולות מפותחות בהרבה מהצורך עצמו, דבר שהפך את מתקפותיהם לכמעט בלתי ניתנות לגילוי".

 

סנז ישר (צילום: יח"צ) (צילום: יח
סנז ישר(צילום: יח"צ)

 

בתי הספר בצפון קוריאה שמים דגש רב על מתמטיקה ומדעים מדויקים, התלמידים הטובים ביותר מועברים להכשרות טכנולוגיות, והמצטיינים במיוחד נשלפים לטובת יחידות הסייבר השונות בצבא, בממשלה ובמודיעין.

 

ויש לא מעט יחידות סייבר כאלה. מרכזי מחקר ממשלתיים, משרדי הביטחון הלאומי, שירותי הביון, גופי המודיעין והצבא - כולם מפעילים יחידות סייבר התקפיות משלהם. "יכולות הסייבר של צפון־קוריאה צמחו מתחת לרדאר התקשורתי, אך מדובר במעצמת סייבר עם יכולות המשתוות למדינות מערביות מפותחות", כותבת ישר.

 

אחת המפורסמות היא יחידה 121, הפועלת תחת סוכנות הביון המרכזית של צבא צפון קוריאה. מדובר באחת מיחידות העילית המיוחדות והסודיות ביותר של הצבא, שמעסיקה כ־2,000 לוחמי סייבר שנחשבים לטובים בתחומם. הלשכה אוספת ובוחרת בקפידה את המועמדים ומכשירה אותם בעצמם. המגויסים הם גאוני המחשבים הבולטים ביותר בצפון־קוריאה, כשחלקם מאותרים כבר בגיל 17. מומחי הסייבר של לשכה 121 מתוגמלים בנדיבות, וחלקם אף נחשבים לאנשים העשירים ביותר בפיונגיאנג.

 

המטרה: כסף

מפתיע לגלות שחלק גדול מהמתקפות שמוציאים הצפון־קוריאנים הן לא בהכרח למטרות ריגול, שיבוש ותקיפה, אלא דווקא לצורך בצע כסף. "הצפון קוריאנים מבצעים באופן מערכתי פעולות שהן בגדר פשיעה קיברנטית, שמטרתן לגנוב כסף, כדי למלא את קופת המדינה הריקה", אומר מנשרי. "הם עוסקים זה מספר שנים במעשי תקיפה ושוד סייבר יזום לטובת משרדי המדינה".

 

ד"ר הראל מנשרי (צילום: יח"צ)
ד"ר הראל מנשרי(צילום: יח"צ)

 

ההשערה הנוכחית היא שזה בדיוק מה שעמד מאחורי מתקפת הכופר האחרונה. במקרה הזה ייתכן שההאקרים נכשלו במשימתם: רק 223 קורבנות מתוך 200 אלף שילמו את הכופר כדי לשחרר את קובציהם המוצפנים, דבר שהניב לתוקפים רווח של 110 אלף דולר בלבד.

 

בשבוע שעבר הודיעה חברת אבטחת המידע "סימנטק" שיש לה ראיות חזקות שמקשרות את קבוצת "לזרוס" למתקפה זו. קבוצת לזרוס, ככל הנראה, קשורה למשטר הצפון־קוריאני, ובאופן ספציפי יותר - ל"יחידה 180" המסונפת למודיעין הצפון־קוריאני. לזרוס ויחידה 180 אחראיות, לפי הערכות שונות, גם לפריצה למערכת הבנקאית בבנגלדש וגניבת 81 מיליון דולר, וכן למתקפות על בנקים בפיליפינים, בווייטנאם ובפולין.

 

"לזרוס" אחראית גם על הפריצה המפורסמת לשרתי אולפני "סוני". שם המניע היה בכלל כבוד לאומי, ולא כספי: בצפון־קוריאה זעמו על הסרט "ראיון סוף", שהציג בצורה מגוחכת את מנהיגם, קים ג'ונג־און, והחליטו לנקום בהדלפת עותק של הסרט וכן מקבץ של מסמכים ומיילים מביכים משרתי סוני.

 

תחקירים של "רויטרס" ו"ניו־יורק טיימס" חשפו לאחרונה עוד טפח מפעילותה של יחידה 180. מסתבר כי היא מפעילה "תאים רדומים" של האקרים שמסתובבים בעולם תחת מסווה של עובדים ומתכנתים בחברות בינלאומיות, וממתינים ליום פקודה. ברגע האמת הם מקבלים את פקודותיהם ותוקפים, בקבוצות קטנות של 6־3 אנשים.

 

יש שתי סיבות לכך שהם פועלים מתחומיהן של מדינות זרות: גם כדי לטשטש את הקשר לצפון־קוריאה וגם כדי להתגבר על העובדה שתשתיות האינטרנט במדינתם נחשבות לגרועות במיוחד.

 

מובן שצפון קוריאה מכחישה כל קשר למתקפות הללו, וצריך להדגיש כי אין לכך הוכחה נחרצת.

 

אך פעולות הסייבר של צפון קוריאה אינן חדשות. לפי מנשרי, אחת מקורבנותיה העיקריים היא דרום קוריאה שכנתה. כבר ב־2004 החלו הצפון קוריאנים להחדיר וירוסים לרשתות תקשורת צבאיות בדרום־קוריאה; ב־2011 הדרום קוריאנים האשימו את הצפון קוריאנים שהחדירו וירוס, במסווה של משחק תמים, ל־100 אלף מחשבים, במזימה לגייס את רשת המחשבים הזו למתקפת סייבר על שדה התעופה. רק בשנה שעברה התברר כי נפרצו 120 אלף מחשבים ב-160 חברות וארגוני ממשלה בדרום קוריאה, והושתל בהם קוד זדוני שרק המתין ליום פקודה. צפון־קוריאה גם הואשמה במתקפת סייבר על כור גרעיני ב-2014.

 

עזרו לאויבי ישראל

אך לשיטות הצפון־קוריאניות יש גם חסרונות ונקודות תורפה. כלי התקיפה שפיתחו אמנם מתקדמים מאוד, ובגלל המשאבים המוגבלים שעומדים לרשותם הם פיתחו שלל מנגנונים מתקדמים שמטרתם התחמקות מתוכנות הגנה. "אך מאפיינים ייחודים אלו הם גם עקב האכילס של התוקפים הצפון קוריאניים", כותבת סנז ישר. "השיטות בהן הם משתמשים לא השתנו כמעט בכלל מאז 2009, ולא נעשו שינויים אופרטיביים בדרך ההתנהלות של התוקפים, למרות התמורות שחלו בעולם הסייבר. בכך התקיפות שהם מבצעים חשופות לכלי זיהוי והגנה עדכניים. אם דפוס פעולה זה יימשך, עשויה המדינה למצוא עצמה בקרוב ללא כלים שימושיים ותצטרך לבנות מחדש את כל תוכנית הסייבר שלה".

 

בינתיים, בארה"ב מזהירים כדי צפון קוריאה הופכת בהדרגה לאיום סייבר אמיתי על העולם. האם גם על ישראל לדאוג? "במערכת הביטחון הישראלית לא מכירים מספיק את נושא הסייבר בצפון־קוריאה. היא לא בעדיפות גבוהה, כי אנחנו לא רואים אותה כאויבת שלנו", אומר מנשרי, "אבל לא בטוח שזה נכון: צפון קוריאה היא מדינה שעזרה בעבר לאויבי ישראל. צריך לקחת אותה בחשבון".

 

הכתבה פורסמה במוסף "ממון" ב"ידיעות אחרונות"

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מומלצים