This post is also available in:
English (אנגלית)
קבוצת "לזרוס" היא קבוצת האקרים צפון-קוריאנית ידועה לשמצה, המוכרת ממבצעי גניבת מטבעות קריפטו בפרופיל גבוה. לאחרונה, הקבוצה שינתה את אסטרטגיית התקיפה בסייבר שלה, והחלה לפגוע בשרשראות אספקת תוכנה. מומחי אבטחה חשפו מבצע חדש, "Phantom Circuit", שבו קבוצת ההאקרים מטמיעה קוד זדוני לתוך כלי פיתוח אמינים, מה שמאפשר להם לגנוב נתונים רגישים ללא זיהוי.
לקבוצת לזרוס יש רקורד מבוסס היטב, כולל גניבה של יותר מ-600 מיליון דולר במטבעות קריפטוגרפיים בשנת 2023 בלבד. עם זאת, הגישה האחרונה שלהם מייצגת מעבר ממבצעים קצרי-טווח לריגול סייבר לטווח ארוך. על פי חוקרים מ-SecurityScorecard, המבצע, שהחל בינואר, השפיע כבר על 233 קורבנות, כאשר 100 מהם ממוקמים בהודו. נראה כי הקורבנות העיקרים הן מפתחי מטבעות קריפטו, חברות טכנולוגיה ואנשים המעורבים בפרויקטים של קוד פתוח.
השיטה של הקבוצה כוללת חדירה למאגרי תוכנות קוד פתוח, שם הם משכפלים פרויקטים לגיטימיים ומכניסים קוד זדוני לתוך הקוד. מפתחים מתקינים שלא ביודעין את התוכנה שנפגעה, וסומכים עליה כמו כל חבילת קוד פתוח אחרת. שיטה זו מאפשרת ללזרוס לאסוף בשקט נתונים יקרי ערך כגון תעודות, אסימוני אימות וסיסמאות, אשר ככל הנראה משמשים לקידום האינטרסים הגיאופוליטיים של צפון קוריאה.
צוות STRIKE של SecurityScorecard גילה כי לזרוס משתמש בפלטפורמות כמו GitLab, כלי פופולרי בקרב מפתחים, כדי להפיץ את התוכנה בעלת הדלת האחורית. ברגע שהתוכנה הזדונית פעילה, הנתונים הגנובים מועלים ל-Dropbox, שם הם נשארים מוסתרים. לזרוס גם מנתבים את התנועה שלהם דרך VPN ופרוקסים רוסיים כדי לטשטש את המיקום האמיתי שלהם, מה שגורם לתקיפות להיראות כאילו הגיעו מרוסיה.
שלב חדש זה בפעולות הסייבר של לזרוס מדגיש את התחכום ההולך וגדל של פושעי הסייבר ומעבר לאסטרטגיות חשאיות ומתמשכות יותר, המכוונות לאיסוף מודיעין לטווח ארוך. מומחים מדגישים את החשיבות של חיזוק אמצעי האבטחה על ידי יישום תהליכי אימות קוד קפדניים וניטור הדוק של תעבורת הרשת כדי להגן מפני איומים חשאיים אלה. אמצעי אבטחה משופרים חיוניים להגנה על נתונים רגישים מקבוצות כמו לזרוס.
