CryptoCore Criminal Group

חוקרי Infosec מאמינים שהם הצליחו לחשוף את זהותה של קבוצת פושעי הסייבר האחראית לכמה קמפיינים של תקיפות בהיקף של מיליוני דולרים המכוונים בעיקר לבורסות מטבעות קריפטוגרפיים. קבוצת ההאקרים קיבלה את השם CryptoCore על ידי מומחי האבטחה שעוקבים אחר פעילותה. דיווח ראשוני ייחס את ההתקפות להאקרים ממזרח אירופה, אולי ממוקמים במדינות מהאזור כמו אוקראינה, רוסיה ורומניה.

ספקי אבטחת סייבר מרובים עקבו אחר הדוח הזה על ידי פרסום הממצאים שלהם לגבי פעולות זדוניות שונות שהפגינו קווי דמיון משמעותיים עם הפעילויות שנצפו על ידי חוקרי אבטחה. דו"ח F-SECURE חשף פרטים על קמפיין רב-לאומי בקנה מידה גדול נגד ארנקי קריפטו, בעוד שה-CERT JPCERT/CC היפני שיתף את הממצאים שלהם לאחר ניתוח של התקפות מרובות נגד חברות יפניות. הקטע האחרון היה דיווח של NTT Security, חברת אבטחת סייבר יפנית, בנוגע לקמפיין שעקבו אחריו כ-CRYPTOMIMIC.

לאחר שילוב והשוואה של המידע שנאסף, היו לחוקרים מספיק ראיות כדי לייחס את פעולות CryptoCore בביטחון בינוני עד גבוה לקבוצת הפריצה לזרוס בחסות המדינה של צפון קוריאה. זה אישר את המסקנות שנקבעו בעבר על ידי F-Secure.

פרטי התקפת CryptoCore

ההתקפות זוהו לראשונה בשנת 2018 וכללו טקטיקות דיוג חנית שנועדו להשיג דריסת רגל בתוך הישות הממוקדת. ההאקרים קיבלו זהויות שונות ויזמו קשר עם המשתמשים הנבחרים. לאחר מכן הונה הקורבנות להוריד קובץ פגום אחד או יותר למחשביהם. בין 2018 ל-2020, נקבעו 5 קמפיינים שונים של תקיפה כחלק מפעולות CryptoCore. הגופים שנפגעו כללו שלוש בורסות שונות של מטבעות קריפטוגרפיים וכמה חברות יפניות. ההפסדים המוערכים כתוצאה מהפריצות עולים על 200 מיליון דולר.

נראה כי פושעי הסייבר מרחיבים את היקף פעילותם על ידי הכללת מטרות ישראליות בפעולותיהם האחרונות. השינוי עשוי להיות סימן להתאמה מחדש במיקוד שלהם או שההאקרים רודפים אחרי חברות שתואמות פרופיל פיננסי ספציפי.