كوريا الشمالية تتجسس على أعدائها بـ"قرصان Fake" وVPN

حذّرت بريطانيا والولايات المتحدة وكوريا الجنوبية من حملة تجسس إلكتروني عالمية مدعومة من كوريا الشمالية للمضي قدما بتحقيق تطلعات بيونغ يانغ النووية.

وأفادت وكالات إنفاذ قانون واستخبارات بأن مجموعة يطلق عليها "أنداريل" "تخترق منظّمات حول العالم لسرقة معلومات تقنية حساسة وسريّة وبيانات ملكية فكرية"، بحسب فرانس برس.

في سياق متصل، ذكر مكتب التحقيقات الفدرالي "إف بي آي" أن "أنداريل" تحاول منذ مدة الحصول على معلومات مثل مواصفات وتصميمات عمليات معالجة اليورانيوم والتخصيب إضافة إلى الصواريخ وأنظمة الدفاع الصاروخية.

وأعلن مكتب التحقيقات الفيدرالي عن مكافأة تصل إلى 10 ملايين دولار لمن يدلي بمعلومات عن عضو الوحدة "ريم جونغ هيوك"، متهمة إياه بالتآمر لاستخدام برنامج الفدية Maui لتنفيذ عمليات اختراق لأجهزة الكمبيوتر في المستشفيات وشركات الرعاية الصحية الأميركية، وشراء خوادم إنترنت إضافية لتنفيذ عمليات اختراق تجسس إلكتروني ضد الحكومة وضحايا التكنولوجيا في الولايات المتحدة وكوريا الجنوبية والصين.

ويختصر معهد الأمن القومي الكوري الجنوبي معلوماته حول أنداريل في الآتي:

• منظمة تابعة للمكتب ١٢١ التابع لمكتب الاستطلاع الكوري الشمالي العام وتأسست لأول مرة عام 2016 ويبلغ عدد أفرادها حوالي 1600 شخص.
• تقوم بأنشطة القرصنة للحصول على معلومات تتعلق بتطوير الأسلحة وتحقيق أرباح اقتصادية
• تستهدف شركات الدفاع، وشركات الأمن، ومعاهد أبحاث الطاقة، والمنظمات ذات الصلة بالدفاع، وألعاب المقامرة، ووكالات السفر، وتبادل العملات المشفرة، وأجهزة الصراف الآلي، وما إلى ذلك.
• اخترقت قبل ذلك مركز البيانات الدفاعية المتكاملة في عام 2016، واختراق شركة الصناعات الجوية والفضائية الكورية الجنوبية KAI في عام 2021.

يختصر معهد الأمن القومي الكوري الجنوبي المجموعات التابعة لكوريا الشمالية كالآتي:

أولا: مجموعة لازاروس

• منظمة تابعة لمكتب الاستطلاع العام، وشكلت في أوائل عام 2007، ومن المقدر أنها نفس منظمة ATP 38.
• في الفترة من 2009 إلى 2014، ركزت هجماتها على كوريا والولايات المتحدة.
• استهدفت بورصات العملات المشفرة، والبنوك، وشركات الإعلام، وشركات الترفيه، والصناعة الميدانية والدفاعية.
• هاجمت شركة Sony Pictures في عام 2014، ويُشتبه في وقوفها وراء هجوم برنامج الفدية WannaCry في عام 2017.

ثانيا: مجموعة (BlueNorOff)

• منظمة تابعة للمكتب 121 من مكتب الاستطلاع العام ومن المعروف أنها تضم ​​حوالي 1700 عضو.
• اكتشف أول نشاط لها في أوائل عام 2014.
• تهاجم الأماكن التي يمكن من خلالها الحصول على عوائد مالية فقط.
• تستهدف الشركات المالية العالمية، والكازينوهات، وبورصات العملات المشفرة، ومطورو برامج المعاملات المالية، وما إلى ذلك.
• اخترقت البنك المركزي البنغلاديشي وهيئة الرقابة المالية في بولندا في عام 2016، واخترقت بنك تشيلي في عام 2018.

ثالثا: مجموعة (Kimsuky)

• منظمة تابعة لمكتب الاستطلاع العام ويعتقد أنها كانت نشطة منذ عام 2010.
• مسؤولة عن جمع المعلومات الاستخبارية العالمية.
• يستخرج المعلومات المطلوبة من الضحايا باستخدام تكتيكات الهندسة الاجتماعية الشائعة، والتصيد الاحتيالي.
• استهدفت خبراء من الأفراد المتخصصين ومراكز الأبحاث والمنظمات الحكومية في كوريا الجنوبية والولايات المتحدة واليابان (فيما يتعلق بشبه الجزيرة الكورية والسياسة النووية، والسياسة الخارجية المتعلقة بالعقوبات، وقضايا الأمن القومي)، والمنشقين الكوريين الشماليين.
• اخترقت الحكومة البولندية في عام 2020، ومستشفى جامعة سيول الوطنية في يونيو 2021، ومعهد أبحاث الطاقة الذرية الكوري في العام نفسه.

تعرف منظمة APT45 على إنها مشغل سيبراني وهي اختصار (Advanced Persistent Threat) يعمل وفقا لمصالح كوريا الشمالية، وقد بدأ نشاطها عام ٢٠٠٩ وفقا لتحليل Mandiant المعنية بالأمن السيبراني التابعة لغوغل كلاود.

ويظهر تحليلها أن هذه الوحدة توسعت في عملياتها من التجسس على الوكالات الحكومية والدفاع لتتوسع لتشمل المؤسسات المالية، وشاركت في تطوير برامج الفدية.

ولوحظ أيضا أنها تجسست بما يتواءم مع اهتمام بيونغ يانغ المستمر بالقضايا النووية والطاقة، وكذلك في مجالات أخرى كالآتي:

• استهداف محطة الطاقة النووية كودانكولام في الهند عام 2019.
• استهداف قسم علوم المحاصيل في شركة متعددة الجنسيات بسبب تفاقم تدهور الزراعة عقب الإغلاق بسبب كوفيد١٩ عام٢٠٢٠
• التركيز على قطاعات الرعاية الصحية والأدوية أثناء تفشي مرض كوفيد-19 عام 2021.

ورغم عدم قدرة Mandiant على تأكيد استخدام APT45 برامج الفدية والبرامج الضارة فإنها على الأغلب استخدمت الآتي:

• برامج الفدية MAUI لاستهداف قطاعي الرعاية الصحية والصحة العامة في الولايات المتحدة عام 2022 بحسب وكالة الأمن السيبراني وأمن البنية التحتية الأميركية.
• برامج فدية SHATTEREDGLASS عام 2021 بحسب Kaspersky.

أما البرامج الضارة، فتعتمد APT45 على مزيج من الأدوات المتاحة للجمهور مثل 3PROXY وبرامج ضارة معدلة اعتمادا على أخرى متاحة للجمهور مثل ROGUEEYE وعائلات البرامج الضارة المخصصة.

ومن خصائص APT45 استخدام الآتي:

• إعادة استخدام التعليمات البرمجية.
• الترميز المخصص الفريد.
• كلمات المرور.

كانت شركة KnowBe4 متخصصة في التدريب على الأمن السيبراني تحتاج إلى تعيين مهندس برمجيات عن بعد، وكالعادة نشرت الوظيفة وبدأ قسم الموارد البشرية في استقبال السير الذاتية.

٤ مقابلات عبر الفيديو، طابق خلالها القسم المعني الصورة المرسلة في السيرة الذاتية مع الطلب، وكانت النتائج واضحة، هذا الشخص حقيقي.

لكن الأمر لم يكن كذلك، فقد اتضح أنه يستخدم هوية أميركية صالحة ولكنها مسروقة، وصورة "معززة" بالذكاء الاصطناعي.

وقد أرسلت وحدة Mac ليبدأ المهندس المزيف العمل بها، وفور استلامها حملت برنامجا ضارا استطاعت وحدة الأمن في الشركة أن ترصده لتكتشف أنه "موظف IT من كوريا الشمالية".

واستخدم الموظف المزيف أساليب مذهلة للحفاظ على الخدعة أولها أنه أرسل عنوانا لتلقي الجهاز الخاص به اتضح أنه "IT mule laptop farm" أي مخزن للأجهزة المحمولة، وشبكات VPN لتبدو كما لو كان يعمل بتوقيت الولايات المتحدة.

ويتضح من ذلك مدى تطور قدرات القراصنة الكوريين الشماليين، ودوافع بيونغ يانغ للخروج وكسب العملة الصعبة، بحسب دان بينكستون، محاضر في الحرب السيبرانية والعلاقات الدولية في جامعة تروي في كوريا الجنوبية، لموقع إن كيه نيوز.

مساعي موظف تكنولوجيا المعلومات الكوري الشمالي ليست الأولى، فوفقا لتقرير لجنة الخبراء التابعة للأمم المتحدة المعنية بتنفيذ العقوبات على كوريا الشمالية فإن ما يصل إلى ١٠ آلاف عامل في مجال تكنولوجيا المعلومات يشاركون بصورة "فريلانس" لكسب الأموال التي تدعم برامج الأسلحة في البلاد.