טכנולוגיה

צפון קוריאה פרצה ל-Axios: מה קרה בפרויקט קוד פתוח שאנשים תלויים בו?

מתקפה שתוכננה כנראה שבועות: התחזות, אמון מזויף ואז דחיפה של עדכון זדוני למיליוני משתמשים פוטנציאליים

1 דקות קריאה 18
בהתאם לסעיף 27 לחוק זכות יוצרים, תשס"ח-2007 (שימוש הוגן לצרכי דיווח ותוכן עיתונאי)

צפון קוריאה שוב הוכיחה שיש לה אהבה מיוחדת לתחום אחד: קוד פתוח. הפעם זה לא היה “סתם עוד” סקריפט זדוני, אלא חטיפה זמנית של אחד הפרויקטים הכי נפוצים באינטרנט, Axios, שבו מפתחים משתמשים כדי לחבר אפליקציות לרשת. ובמילים פשוטות: זה היה כמו שמישהו נכנס לבניין משותף, מחליף את מנגנון הבקרה של דלת הכניסה, ואז “מעדכן” את השכנים דרך המייל.

המתקפה התרחשה בתחילת השבוע, אבל היא כנראה לא התחילה אז. לפי רצף האירועים שניתן לשחזור, מדובר במהלך שנפרס על פני שבועות כחלק מקמפיין ארוך יותר שמכוון למפתחים שמחזיקים בקוד מרכזי. Axios עצמו נחטף לכמה שעות סביב 31 במרץ, כאשר הועלו אליו חבילות עדכון זדוניות.

למה זה הצליח? כי לא מדובר רק בפריצה טכנית

מה שמפחיד כאן הוא לא רק היכולת לכתוב קוד זדוני. זה היה משחק של פסיכולוגיה, זמן ואמון. התוקפים לא “נחתו” על היעד ברגע אחד. הם בנו קשר לאורך תקופה, כנראה עם משאבים רציניים, כדי להיראות אמינים ולגרום ליעד לשתף פעולה בלי להבין שהוא כבר בתוך מלכודת.

המפתח לפרטים הוא תחנת המוצא: המנהל של Axios, שמפתחי העולם משתמשים בו לחיבור אפליקציות לאינטרנט, קיבל תהליך שהתחזה לחברה אמיתית. התוקפים יצרו סביבת Slack שנראית מציאותית, אפילו עם פרופילים מזויפים של “עובדים” מהחברה. זו לא תחפושת של דקה. זה סטייל של צוות שעבד על זה כדי שהכל ירגיש נכון.

הטריק: פגישה אונליין שמסתיימת בהורדת תוכנה זדונית

אחרי שהאמינות נבנתה, התוקפים הזמינו אותו לפגישת ווב. ואז הגיע השלב היפה-מגעיל: במהלך הפגישה הוא התבקש להוריד “עדכון” שנחוץ כדי להשתתף בשיחה או לגשת אליה. בפועל, זה היה קוד זדוני שמתחזה לעדכון תמים.

ההתנהלות הזו דומה למניפולציות מוכרות שמיוחסות לעבר לתוקפים מצפון קוריאה: לגרום לקורבן להעניק גישה מרחוק למחשב שלו. ברוב המקרים כאלה, המטרה היא לא רק “לראות מה יש אצלך”, אלא לגנוב נכסים דיגיטליים כמו מטבעות קריפטו, או להפוך את המחשב לשער לעוד קורבנות.

ואז: החבילות הזדוניות על Axios

לאחר שהמחשב של המנהל נפרץ והושגה גישה מרחוק, התוקפים שחררו עדכונים זדוניים לפרויקט Axios. שתי חבילות זדוניות עלו לאוויר, וחלק מהן נמשכו בערך שלוש שעות מרגע הפרסום הראשון ב-31 במרץ.

האם זה הדביק המון? קשה לדעת עדיין את כל היקף הנזק. אבל כל מחשב או שרת שהתקין גרסה זדונית בתקופה הזו עלול היה להפוך למטרה. במקרה כזה, התוקפים יכלו לגנוב מפתחות פרטיים, פרטי הזדהות וסיסמאות. וזה בדיוק סוג המידע שמאפשר המשך פגיעה: לא רק “לגנוב פעם אחת”, אלא להמשיך הלאה לעוד מערכות.

למה זה מטריד במיוחד בעולם הקוד הפתוח?

קוד פתוח הוא כמו מים זורמים: כולם משתמשים בזה, הרבה פעמים בלי לחשוב מאיפה זה מגיע. כשפרויקט מרכזי נחטף, הפגיעה יכולה להתגלגל לשרשראות. מפתחים בונים על זה, מערכות תלויות בזה, ואז פתאום עדכון אחד שגוי יכול להתפשט מהר.

וכאן נכנסת גם התמונה הגדולה יותר: תוקפים מצפון קוריאה נחשבים לאחד האיומים הפעילים ביותר ברשת. המשטר ממשיך להיות תחת סנקציות ונחסם ממערכות פיננסיות גלובליות, ולכן מתקפות סייבר וגניבת קריפטו משמשות מקור מימון משמעותי. לפי ההיגיון של התוקפים, יש להם המון צוותים מאורגנים שמבצעים תקיפות מורכבות, כולל הנדסה חברתית, כדי לזכות באמון, לקבל גישה, ואז להוציא מידע וכסף.

בקיצור: זו לא רק פריצה. זו תזכורת כואבת שמפתחי קוד פתוח צריכים לחשוב גם על אבטחה אנושית, לא רק על אבטחה טכנית. כי לפעמים הכניסה היא לא דרך שורת קוד. היא דרך “היי, בוא ניפגש רגע”.

שתף: WhatsApp Facebook X
תגיות
טכנולוגיה אבטחת מידע קוד פתוח
שתפו את הכתבה
עידן רז

עידן רז

כתב הטכנולוגיה של בידורן. חנון גאה שמתרגש מ-AI, גאדג"טים וסטארטאפים. מסביר טכנולוגיה בשפה פשוטה — כי כולם צריכים להבין מה קורה בעולם.

כל הכתבות של עידן רז

כתבות נוספות