12 августа 2020 года Израиль заявил о том, что предотвратил кибератаку связанной с Северной Кореей хакерской группы на систему безопасности предприятий оборонной промышленности страны. Об этом пишут Ронен Бергман (Ronen Bergman) и Николь Перлот (Nicole Perlroth) в статье для американской газеты "The New York Times".
Израильское военное ведомство сообщило, что атака была отражена «в режиме реального времени» и что компьютерные системы не пострадали. Однако исследователи международной компании ClearSky, которая первой раскрыла атаку, заявили, что северокорейские хакеры проникли в компьютерные системы и, вероятно, украли большой объем секретных данных. Официальные лица Израиля опасаются, что эти данные могут быть переданы союзнику Северной Кореи — Ирану.
Этот эпизод добавляет Израиль в список стран и компаний, которые стали целью северокорейской киберпреступной группировки Lazarus. Американские и израильские официальные лица заявили, что Lazarus, также известная как Hidden Cobra, пользуется поддержкой Пхеньяна.
Федеральные прокуроры США разоблачили членов группы Lazarus в уголовном иске 2018 года, в котором говорилось, что они работают от имени Лаборатории № 110 — подразделения военной разведки Северной Кореи. Группа обвиняется в причастности к созданию и распространению в 2017 году программы-вымогателя WannaCry, которая парализовала 300 000 компьютеров в 150 странах; кибер-кражам в размере 81 млн долл. из Бангладешского банка в 2016 году; кибератаке в 2014 году на Sony Pictures Entertainment, которая привела к утечке электронных писем руководителей и уничтожила более двух третей компьютерных серверов студии.
Хотя послужной список группы неоднозначен, растущая армия северокорейских хакеров, численность которой уже достигает более 6000 человек, со временем стала только более изощренной и смелой, как утверждают американские и британские официальные лица, отслеживающие ее деятельность.
В отчете за апрель прошлого года представители государственного департамента, министерства внутренней безопасности, министерства финансов США и ФБР обвинили Северную Корею во все более активном использовании цифровых средств для уклонения от санкций и получения доходов для своей программы создания ядерного оружия. В отчете также содержится обвинение Северной Кореи в том, что она продает услуги своих хакеров другим киберпреступным группировкам и странам.
Представитель службы безопасности Израиля заявил о наличии опасений, что украденные данные будут использованы не только Северной Кореей, но и Ираном.
В последние месяцы Израиль борется с эскалацией киберконфликта с Ираном. Израиль заявил, что в апреле предотвратил кибератаку на его инфраструктуру водоснабжения, которая, по словам официальных лиц, была направлена на повышение уровня хлора до опасного уровня. Израиль, в свою очередь, через две недели ответил кибератакой на иранский порт Шахид-Раджаи, в результате которой его компьютерная система была выведена из строя на несколько часов.
По словам специалистов ClearSky, атака Северной Кореи на оборонную промышленность Израиля началась с сообщения в социальной сети LinkedIn в июне прошлого года. Северокорейские хакеры, выдававшие себя за сотрудников отдела кадров американской корпорации Boeing, отправили сообщение старшему инженеру израильской государственной компании, которая производит оружие для израильских военных и разведки.
Хакеры создали фальшивый профиль в LinkedIn на имя Даны Лопп — реальной сотрудницы Boeing. Она была одной из нескольких сотрудников, занимавшихся привлечением кадров для известных оборонных и аэрокосмических компаний, включая Boeing, McDonnell Douglas и BAE Systems, за которых хакеры из Северной Кореи выдавали себя в LinkedIn.
Установив контакт со своими израильскими целями, хакеры запросили адрес электронной почты или номер телефона для подключения через WhatsApp или, дабы повысить доверие, предложили переключиться на прямой звонок. Некоторые из тех, кто принимал звонки, заявили позже, что другая сторона говорила по-английски без акцента и звучала достоверно.
Исследователи отмечают, что Lazarus ранее не демонстрировал такой уровень сложности действий. В среду израильские официальные лица предположили, что Северная Корея, возможно, передала часть своих операций носителям английского языка за границу.
В какой-то момент хакеры попросили прислать своим жертвам список требований к работе. Этот файл содержал невидимое шпионское программное обеспечение, проникшее на персональный компьютер сотрудника и пытавшееся проникнуть в секретные израильские сети.
В ClearSky заявили, что в результате атак, начавшихся в этом году, удалось заразить несколько десятков компаний и организаций в Израиле и по всему миру.
Хакеры из Северной Кореи, похоже, усвоили урок и в середине 2019 года начали использовать LinkedIn и WhatsApp для установления контактов с рядом военных предприятий на Западе, атакуя аэрокосмические и оборонные компании в Европе и на Ближнем Востоке. В августе в отчете ООН говорилось, что северокорейские хакеры использовали аналогичные методы для отслеживания должностных лиц организации и государств-членов ООН.
Боаз Долев, генеральный директор и владелец ClearSky, заявил, что после этих сообщений компания стала замечать попытки атаковать израильские оборонные компании. Они быстро обнаружили поддельные профили Lazarus в LinkedIn и сообщения сотрудникам израильских оборонных компаний.
Исследователи ClearSky обнаружили, что по крайней мере в двух случаях хакеры из Северной Кореи устанавливали хакерские инструменты в израильских сетях. Один из этих инструментов, известный как троян (вирус удаленного доступа), использовался северокорейскими хакерами в предыдущих кибератаках на турецкие банки и других жертв с целью кражи паролей и других данных.
По словам исследователей, успешная установка стала сигналом того, что Северная Корея проникла в израильские сети дальше, чем предполагали официальные лица.
«Lazarus в очередной раз доказывают высокие возможности и оригинальность своих методов социальной инженерии и взлома», — отметил г-н Долев. По его словам, чем выше становится корпоративная безопасность, тем больше национальных государств и киберпреступников будут пытаться атаковать сотрудников лично через социальные сети и фишинговые атаки по электронной почте.
«Злоумышленники всегда ищут новые уязвимости», — сказал он. Чем лучше защита, тем больше атак будет направлено на сотрудников, их семьи и домашнее компьютерное оборудование.