ავტორი: ანა აბისონაშვილი
საუკუნის გამოწვევად იქცა ცხოვრება ტექნოლოგიებთან ერთად. არ არსებობს სფერო, რომელიც ტექნოლოგიებზე დამოკიდებული არაა და მისი დახმარებით არ ვითარდება. თუმცა, დადებით მხარეებთან ერთად აღსანიშნავია ის საფრთხეები, რომელიც თან ახლავს ტექნოლოგიურ განვითარებას. ასეთ ეპოქაში ჩვენ გვაქვს ისეთი რეალობა, სადაც საფრთხე ექმნება კიბერსივრცეს და მომხმარებელს. უსაფრთხოების საკითხის განხილვისას აღსანიშნავია, რომ სახელმწიფოების უმთავრესი ინტერესის სფეროა კრიტიკული ინფორმაციისა და ინფრასტრუქტურის დაცვა. უნდა მოხდეს პრევენცია ინფორმაციის მოპარვის/გადაცემის, ქსელის განადგურების ან დაზიანების. აქედან გამოდინარე, თანამედროვე სამყაროს გამოწვევაა კიბერტერორიზმი. ინფორმაციის თავმოყრა ძირითადად ხდება ელექტრონულ სივრცეებში, შესაბამისად ტერორიზმის მიზანს წარმოადგენს სივრცეებში შეღწევა და ინფორმაციის მოპოვება.
ინტერესის სფეროა დიდი ქვეყნების კიბერ შესაძლებლობები და შეიძლება ითქვას, რომ გარკვეულ დონეზე შესწავლილიცაა. თუმცა, არანაკლებ საინტერესოა ავტორიტარული რეჟიმის მქონე ქვეყნების შესაძლებლობებიც, მაგალითად, ჩრდილოეთ კორეის, რომელიც ყურადღებას მისი ჩაკეტილობის გამო იქცევს. მუდამ მზარდი კიბერ შეტევების მიუხედავად, რომელიც მიეწერება ჩრდილოეთ კორეას, სახელმწიფო არ აქვეყნებს კიბერ სტრატეგიის დოქტრინას. ჩრდილოეთ კორეის კიბერ სტრატეგია ინფორმაციის მოპოვების აგრესიულ ტიპს მოიცავს და ფინანსების მოპარვაზეა ორიენტირბული, რომელიც ემსახურება კიმების ოჯახის შენარჩუნებას და კორეის ნახევარკუნძულის გაერთიანებას მისი ხელმძღვანელობით. რეჟიმი STEM (Science, Technology, Engineering and Mathematics) განათლებას დიდ ყურადღებას აქცევს და დიდი თანხითაც აფინანსებს, შესაბამისად კომპიუტერულ მეცნიერებების მიმართულებით ახალგაგზრდები საკმაოდ განათლებულები არიან. სტუდენტები იგზავნებიან ადგილობრივ და საერთაშორისო ინსტიტუტებში დამატებითი გადამზადებისთვის, რომელიც არ არის მარტივად ხელმისაწვდომი კორეაში არსებული სანქციების გამო. აგრეთვე, კიბერ სტრატეგია მოიცავს შპიონაჟს. სისტემამ მნიშვნელოვნად განავითარა კიბერ შესაძლებლობები და მის სამიზნეს წარმოადგენს არა ერთი გლობალური ინდუსტრია. თუმცა, დამანგრეველი კიბერშეტევები იშვიათად ხორციელდება და მთავრობა აგრძელებს სწავლის და ტრეინინგის დაფინანსებას, რომ უფრო სერიოზულ სტრატეგიულ მიზნებს მიაღწიონ.
მოცემული ნაშრომის მიზანია ჩრდილო კორეულ ჰაკერთა დაჯგუფების Lazarous-ის ტექნიკების და მეთოდების შესწავლა, სადაც ვისაუბრებთ, მათ მიერ განხორციელებულ ცნობილ თავდასხმებზე.
ტერმინი „ლაზარუსი“ დაკავშრებულია ორგანიზმებთან, რომლებიც გაცოცხლდა. ყველაზე ცნობილი ადამიანი იგივე სახელით გვხვდება ბიბლიაში-ლაზარე, ვინც იესომ მკვდრეთით აღადგინა. “ლაზარუსი”, რომელიც განხილული იქნება ამ ნაშრომში, არ არის დაკავშირებული ხელახლა გაცოცხლებასთან. დღეს “ლაზარუსი” ცნობილია, როგორც ჩრდილო კორეის კიბერ დაჯგუფება, რომლის მთავარ სამიზნეს მაღალ-პროფილური ორგანიზაციები წარმოადგენენ 31 სხვადასხვა ქვეყანაში (მაგალითად, Sony და ბანგლადეშის ბანკი).
ჩრდილოეთ კორეის მთავრობა დაუღალავად მუშაობს, რომ ქვეყნების ეკონომიკური სტაბილურობა და რეპუტაცია დაანგრიოს. საინტერესოა, როგორ ახერხებს ჰაკერული დაჯგუფება წვდომა მოიპოვოს უცხოური ორგანიზაციების მონაცემებზე. “ლაზარუსი” იყენებებს წმინდა წყლის შეტევას (ეს ხდება მაშინ, როდესაც ირჩევენ ისეთ საიტს, რომელსაც ხშირად სტუმრობენ მომხმარბელები), ანუ ვირუსულ პროგრამას აინსტალირებს ვებ-გვერდებზე. მავნე პროგრამა Dark Matter Writes გამოიყენებოდა კონკრეტული IP ადრესის მქონე 31 ქვეყნის მაცხოვრებლების და 104 განსაკუთრებუბლი ორგანიზაციების წინააღმდეგ. შეტევის დაწყების შემდეგ ჯგგუფი უკან იხევდა, რომ მათზე არაფერი ყოფილიყო ცნობილი. კიბერ ომის მსვლელობას მიჰყვნენ სპეციალისტები და ინსტრუმენტების გამოყენებაზე დაკვირვებით, დაადგინეს რომ ერთი და იგივე ჯგუფი ცდილობდა ინფორმაციის მოპოვებას. “ლაზარუსმა” ერთხელ გამოიყენა ძველი მავნე კოდი. ერთ-ერთი მკვლევარის თქმით, ეს არ არის ვირუსის ნაწილები, რომელიც ჩაშენებულია ფორუმებში, ეს არის კარგად დაცული კოდური ბაზა რომელიც არ გასაჯაროვებულა.
2022 წლის ივლისში “ლაზარუსმა” დაარღვია კიდევ ერთი კონტრაქტორი ამჯერად აფრიკაში. თავდაპირველი ნაბიჯი იყო PDF ფაილის გაგზავნა Skype-ს დახმარებით. წარმოდგენილი იყო ორი ფაილი- ლეგიტიმური (CameraSettingsUIHost.exe) და ვირუსული (DUI70.dll). PDF ფაილის მიზანი იყო მომხმარებლის პირადი ინფორმაციის მოგროვება. აღნიშნული მავნე პროგრამა სხვადასხვა კომპანიის წინაღმდეგ რამდენჯერმა გამოიყენა ჯგუფმა.
“ლაზარუსმა” შეცვალა მისი ტაქტიკა და განავითარა შეტევის ინსტრუმენტების კამპანია სახელწოდებით DeathNote.
“ლაზარუსის” სამიზნე კრიპტოვალუტასთან დაკავშირებული ბიზნესი გახდა. “ლაზარუსის” აქტივობებზე დაკვირვებისას სპეციალისტებმა შეამჩნიეს, რომ ერთ კონკრეტულ შემთხვევაში მავნე კოდის მოდიფიცირებულ ნაწილს იყენებდნენ. 2019 წელს ოქტომბრის შუა რიცხვებში სპეციალისტები წააწყდნენ საეჭვო დოკუმენტს VirusTotal-ზე. დამატებითი შესწავლის და გამოძიების შემდეგ დადგინდა, რომ აქტორები იყენებდნენ ამავე Word-ის დოკუმენტს 2018 წლიდან. გამოყენებული იყო „მატყუარა“ დოკუმენტები, კერძოდ, მოიცავდა კითხვარებს რომელიც დაკავშირებული იყო კრიპტოვალუტის ბიზნესთან, მაგალითად-კითხვარი კონკრეტული კრიპტოვალუტის ყიდვის შესახებ, მაინინგ კომპანიების გაცნობის შესახებ და კრიპტოვალუტის შესახებ. მას შემდეგ რაც მსხვერპლი გახსნის დოკუმენტს, გააქტიურდება ვირუსი და შეცვლის პარამეტრებს. ბოლო პერიოდში DeathNote გამოიყენებოდა ძირითადად აღმოსავლეთ ევროპაში, რომლის სამიზნე ობიექტები საავტომობილო და აკადემიური სექტორები იყო, რომლებიც თავდაცვის ინდუსტრიასთან თანამშრომლობს.
გასულ წელს, აშშ-ს ხაზინის საგარეო აქტივების კონტროლის ოფისმა (OFAC)-მა დაანონსა სანქციები კრიპტოვალუტის სერვისების Blender და Tornado Cash-ის წინააღმდეგ, რომლის კრიპტოვალუტა უკანონოდ მოიპოვა “ლაზარუსმა”, დიდი ოდენობის თანხის გასათეთრებლად. კრიპტოვალუტას აქტიურად იყენებს დაჯგუფება, ფინანსური სახსრებისა და მფლობელების დასამალად.
ჩრდილო კორეული ჰაკერთა დაჯგუფება “ლაზარუსი” აქტიურად მუშაობს და წლებთან ერთად თავდასხმის ტაქტიკაც დახვეწა. თავდაპირველად, მათი მთავარი სამიზნე დიდი კომპანიები და ორგანიზაციები იყო, ცდილობდნენ ფინანსური ზარალის მიყენებას. თუმცა, ბოლო პერიოდში მათი ინტერესის სფერო კრიპტოვალუტასთან დაკავშირებული ბიზნესებია. ქვეყნის ჩაკეტილობა არ ნიშნავს, რომ საფრთხეს არ წარმოადგენენ ინფორმაციულ სივრცეში. კიბერშეტევის და კიბერტერორიზმის „უპირატესობა“ სწორედ საზღვრების არ არსებობაში, აქტორების არა-იდენტიფიცირებაში და ფინანსების საჭიროების არ ქონაში მდგომარეობს.