המתחזים הצפון קוריאנים הפכו למגפה של ממש: "נתקלים בהם כל יום"
בשנה האחרונה נרשמה עלייה של 220% בפעילות של אחת מקבוצות ההאקרים הצפון קוריאניות המוכרות ביותר. הסיבה? GenAI כמובן
תמונה: pixabay
כבר תקופה ארוכה שברחבי העולם עוקבים בדאגה אחרי תופעת ההאקרים הצפון קוריאנים שמתחזים לעובדי IT ומנסים להתקבל למשרות בחברות הכי נחשקות בתעשייה. אבל כעת, עם פרסום דוח חדש של חברת הסייבר CrowdStrike, היקפי התופעה נחשפים במלואם, והמספרים לא משקרים.
"אנחנו נתקלים בהם כמעט בכל יום", אמר אדם מאיירס, סגן נשיא בכיר בחברה בתדרוך לתקשורת לרגל פרסום הדוח, שהוסיף כי "ראינו עלייה של 220% בפעילות של Famous Chollima ב-12 החודשים האחרונים". "Famous Chollima" היא אחת מקבוצות ההאקרים המזוהות ביותר עם המשטר הצפון קוריאני ומטרותיה הן לרגל ולאסוף מידע מודיעיני, סודות מסחריים וטכנולוגיות חדשות וכן לייצר רווח כלכלי עבור המשטר.
לטענת מאיירס, המתחזים הצפון קוריאנים הפכו למומחים שמצליחים להסתנן ללא מעט חברות ב-Fortune 500 וגם לארגונים קטנים ובינוניים ברחבי העולם. על פי הדוח, צוות של CrowdStrike חקר למעלה מ-320 מקרים בשנה החולפת, כמעט מקרה אחד ליום. כל המקרים עסקו בחקירות נגד עובדי IT שהתקבלו למשרות שמאפשרות לעבוד מרחוק והעלו חשד כי מדובר במתחזים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
הגבולות נפרצו בעזרת GenAI
"זה כבר לא קורה רק בארצות הברית", ציין מאיירס שהזכיר כי הקבוצה הגיעה גם לחברות באירופה, אמריקה הלטינית ואזורים נוספים, במטרה לקבל משכורות שנשלחות בחזרה לפיונגיאנג. לפי החוקרים של CrowdStrike, הפעילות המוגברת של Famous Chollima קיבלה בוסט משמעותי בזכות כלים של בינה מלאכותית גנרטיבית, שסייעו לפעילים להתמודד עם משימות, להסתנן לתהליכי גיוס ולחמוק מזיהוי.
אז איך זה עובד? הקבוצה השתמשה ב-AI כדי ליצור קורות חיים וזהויות מזויפות ובנו כלים שיסייעו להם לסרוק את הרשת ולמצוא משרות פנויות. ה-AI סייע לקבוצה בתהליך הגיוס, כולל ראיונות וידאו אליהם התחברו בלי מצלמה או עם אווטאר. לאחר שקיבלו את המשרה, בקבוצה המשיכו להשתמש בבינה מלאכותית כדי לבצע משימות יומיומיות ולנהל תקשורת מול מספר מעסיקים במקביל, לעיתים שלוש או ארבע עבודות בו זמנית. נזכיר כי לאחרונה חשפה מיקרוסופט דוח משלה, שהעלה ממצאים זהים בנוגע לשימוש ב-GenAI על ידי קבוצות האקרים צפון קוריאניות.
על פי הדוח, בשנה האחרונה נרשמה עלייה של 27% בפריצות מסוג hands-on-keyboard, כלומר חדירה ישירה על ידי תוקף אנושי, כאשר 81% מהן בוצעו ללא שימוש בתוכנה זדונית בכלל. פשיעת סייבר היוותה 73% מכלל הפריצות האינטראקטיביות בתקופה הזו.
ב-CrowdStrike חשפו כי בששת החודשים האחרונים זיהו בחברה 14 קבוצות או תוקפים בודדים חדשים וכעת החברה עוקבת גם אחר פעילותם. "אנחנו כבר עוקבים אחרי יותר מ-265 קבוצות האקרים שזיהינו, ולצדן 150 'אשכולות פעילות זדונית' נוספים, שהם קבוצות או גורמים שעדיין נמצאים בתהליך מיפוי", אמר. "הבעיה הזו רק הולכת ומסתעפת, וחודרת גם למדינות נוספות שמבקשות לשדרג את יכולות הריגול והמודיעין שלהן באמצעות פעולות סייבר התקפיות".
