This post is also available in:
English (אנגלית)
דו"ח איומים חדש שפורסם על ידי Google Cloud חשף טכניקת גניבת קריפטו מבוססת ענן, אשר מקושרת לקבוצת תוקפים צפון-קוריאנית מתוחכמת. הקבוצה, המזוהה תחת הכינוי UNC4899, נחשבת לכזו הפועלת בחזות המדינה, ופועלת לפחות מאז 2020, תוך התמקדות בארגונים הפועלים בתחום המטבעות הדיגיטליים.
לפי דו"ח Cloud Threat Horizons למחצית השנייה של 2025, הקבוצה הצליחה לפרוץ לסביבות של Google Cloud ושל Amazon Web Services (AWS), ולגנוב נכסי קריפטו בשווי של כמה מיליוני דולרים משתי מטרות שונות בין סוף 2024 לתחילת 2025.
שרשרת התקיפה החלה בהנדסה חברתית. ההאקרים התחזו למפתחים פרילנסרים ויצרו קשר עם עובדים באמצעות פלטפורמות כמו טלגרם. הקורבנות שוכנעו להפעיל קונטיינרים של Docker עם קוד זדוני על המחשבים האישיים שלהם — מה שאפשר לתוקפים לאסוף אישורי גישה רגישים לחשבונות ענן.
מרגע שנכנסו לסביבות הענן, השתנתה שיטת הפעולה לפי הפלטפורמה. במקרה של Google Cloud, ההאקרים זיהו תשתיות הקשורות לעסקאות קריפטו והצליחו לנטרל אימות דו-שלבי (MFA), מה שאיפשר להם להעביר נכסים דיגיטליים ללא זיהוי.
במקרה של AWS, הם נתקלו במדיניות הרשאות מחמירה יותר, אך עקפו אותן באמצעות יצירת אישורי גישה זמניים דרך ה- security token serviceשל אמזון. לאחר מכן הצליחו לגשת למידע ולגנוב כמויות גדולות של מטבעות דיגיטליים.
בסך הכול, הקמפיין הביא לגניבת מטבעות קריפטוגרפיים בשווי של מיליוני דולרים. זרוע האבטחה של גוגל, Mandiant, טיפלה בשני האירועים.
הדו"ח ממליץ על מספר צעדים כדי להתגונן מפני תקיפות דומות: חיזוק האימות הרב-שלבי, ניהול סשנים קפדני, שיפור יכולות גילוי במכשירי קצה ובענן, ויישום גישות אבטחה מבוססות אפס אמון (Zero Trust). גוגל גם מדגישה את הצורך להגן על צינור פיתוח התוכנה כדי לצמצם סיכונים לגניבת אישורים ולמניפולציות.
הממצאים מדגישים מגמה הולכת וגוברת: שחקנים מעצמתיים מאמצים טקטיקות של הנדסה חברתית ומתאימים אותן לעולמות הענן, מה שהופך את אבטחת הענן לרכיב קריטי בכל אסטרטגיית הגנה ארגונית.
