في مقابلة مع جون كوليسون من سترايب، كشف الرئيس التنفيذي لشركة كوين بيس، برايان أرمسترونغ، تفاصيل عن أساليب قراصنة كوريا الشمالية للتسلل إلى كوين بيس. أدت محاولات عملاء مخادعين لرشوة فريق دعم المنصة أو الحصول على وظائف في كوين بيس إلى تشديد معايير الأمان. ماذا تعلمنا عن قراصنة كوريا الشمالية؟
ملخص
- وفي مقابلة جديدة، أكد بريان أرمسترونج أن كوريا الشمالية تحاول التسلل إلى شركات التكنولوجيا من خلال عدد كبير من عملائها متنكرين في صورة عمال تكنولوجيا معلومات عن بعد.
- وقال أرمسترونج إن الأمر يبدو كما لو أن حوالي 500 عميل جديد يتخرجون من المدارس الخاصة كل ثلاثة أشهر.
- وبحسب أرمسترونج، فإن الجهات الفاعلة في مجال التهديد تحاول رشوة فريق دعم Coinbase بمئات الآلاف من الدولارات للحصول على معلومات خاصة.
- اضطرت كوين بيس إلى تشديد معاييرها الأمنية عند توظيف موظفين جدد. لا يمكن الوصول إلى المعلومات الحساسة إلا للموظفين الذين يحملون بصمات أصابع، ويحملون الجنسية الأمريكية ولديهم عائلات داخل البلاد.
- في السابق، اكتشف المحققون أن جمهورية كوريا الديمقراطية الشعبية تسعى باستمرار لتوظيف عملائها في شركات التكنولوجيا لسرقة العملات المشفرة. ويُعتقد أن هذه العملات تُستخدم لتمويل البرنامج النووي الكوري الشمالي.
كوريا الشمالية: الدروس المستفادة من مقابلة أرمسترونج
في 20 أغسطس 2025، أصدرت قناة سترايب على يوتيوب فيديو جديدًا. فيه، يُجري كوليسون وأرمسترونغ، رئيسا سترايب وكوين بيس، محادثة حول الاتجاهات البارزة في مجال العملات المشفرة.
وسأل كوليسون أرمسترونج عما لا يقدره عامة الناس في مجال التكنولوجيا فيما يتعلق بمشهد الجرائم الإلكترونية، وكانت استجابة أرمسترونج الفورية تقريبًا هي "يحاول العديد من العملاء الكوريين الشماليين العمل في هذه الشركات"، في معظم الأوقات عن بعد.
وقال أرمسترونج إنه في حين تعمل الشركات مع جهات إنفاذ القانون وتتلقى إخطارات بشأن بعض المرشحين باعتبارهم "ممثلين معروفين"، فإن الأمر يبدو كما لو أن 500 عميل إضافي يتخرجون من "نوع من المدارس" في جمهورية كوريا الديمقراطية الشعبية كل ربع سنة، وأن التسلل إلى شركات التكنولوجيا هو "عملهم بالكامل".
وأكد أنه لا يلوم الأفراد على تحولهم إلى عملاء:
في كثير من هذه الحالات، لا يقع اللوم على الشخص نفسه. ستُجبر عائلاتهم أو تُحتجز إن لم يتعاونوا. لذا، فهم في الواقع ضحايا أيضًا في كثير من الحالات.
أثناء مقابلات العمل عبر الإنترنت، عادة ما يكون لدى عملاء جمهورية كوريا الديمقراطية الشعبية نوع من المدربين حولهم لمساعدتهم، لذلك يتعين على موظفي Coinbase أن يطلبوا من المرشحين تشغيل الكاميرا للتأكد من أنهم يتحدثون مع شخص حقيقي وليس هناك أحد قريب لإعطاء التعليمات.
إذا احتاج موظفٌ إلى الوصول إلى أي نظامٍ حساس، فعليه الحضور شخصيًا إلى الولايات المتحدة لتلقي التوجيه. تُقيّد Coinbase الوصول إلى البيانات الحساسة بالسماح فقط للموظفين الذين يحملون بصمات أصابع، والذين يحملون الجنسية الأمريكية ولديهم عائلات داخل البلاد، بالدخول. ويُعزى هذا النهج الصارم إلى المخاوف الأمنية المتزايدة المرتبطة بمحاولات التسلل من جمهورية كوريا الشعبية الديمقراطية.
من المخاوف الأخرى التي أعرب عنها أرمسترونغ خلال المقابلة، الحالات التي حاول فيها مُخرِجو التهديدات رشوة موظفي فريق دعم Coinbase، وعرضوا مئات الآلاف من الدولارات مقابل تهريب هواتف شخصية، والتقاط صور لشاشات هواتفهم، ومشاركة أنواع أخرى من البيانات. ولمعالجة خطر التسريبات الناتجة عن الرشوة، اضطرت Coinbase إلى تعزيز سيطرتها على فريق الدعم ونقل مكاتب دعم العملاء إلى الولايات المتحدة وأوروبا. وقال أرمسترونغ:
بدأنا بالفعل في إرساء رادع، بمعنى أنه عندما نُمسك بمن يفعل هذا – ونُراقبه باستمرار – لا نُخرجه من المنزل – يُسجن. نحاول أن نُوضح بجلاء أنك تُدمر بقية حياتك بتناول هذا، حتى لو كنت تعتقد أنه مبلغٌ يُغير حياتك، فهو لا يستحق السجن.
من الإجراءات الأخرى تخصيص مكافأة قدرها 20 مليون دولار لمن يدلي بمعلومات قد تساعد في اعتقال أو إدانة المهاجمين. وأكد أرمسترونغ أن كوين بيس لا تستهدف المطلعين فحسب، بل تستهدف أيضًا الجهات الفاعلة نفسها.
ما الذي تعرفه عن القراصنة من جمهورية كوريا الديمقراطية الشعبية؟
خلال المقابلة نفسها، صرّح أرمسترونغ بأن "جمهورية كوريا الديمقراطية الشعبية مهتمة جدًا بسرقة العملات المشفرة"، وهذا تصريح لا يمكن الاستهانة به. ووفقًا لشركة إليبتيك، المتخصصة في تحليلات بلوكتشين، فإن اختراق منصة باي بت لتداول العملات المشفرة من قِبل قراصنة كوريين شماليين كانأكبر عملية سرقة في التاريخ . تمكّن قراصنة من مجموعة لازاروس سيئة السمعة، المرتبطة بكوريا الشمالية، من سرقة 1.46 مليار دولار من أصول العملات المشفرة. منذ عام 2017، سرقت كوريا الديمقراطية أكثر من 5 مليارات دولار من العملات المشفرة. ويُزعم أن 40% من البرنامج النووي للجيش الكوري الشمالي مُموّل من العملات المشفرة المسروقة. ويُرجّح أن أكثر من 300 مليون دولار من الأموال المسروقة من باي بت استُخدمت لتمويل الأسلحة النووية.
يستخدم قراصنة كوريا الشمالية أساليب متنوعة لسرقة العملات المشفرة وغسل الأموال. في 13 أغسطس/آب 2025، نشر محقق مجهول بارز في مجال العملات المشفرة، مستخدمًا اسم المستخدم ZachXBT على منصة X، وثائق مسربة من قراصنة كوريين شماليين تظاهروا بأنهم موظفو تكنولوجيا معلومات في شركات غربية.
كشف التسريب أن خمسة عملاء كانوا يستخدمون 30 هوية مزيفة، ولديهم حسابات وهمية لموظفي تكنولوجيا المعلومات على منصتي LinkedIn وUpwork. كانوا يتواصلون في الغالب باللغة الإنجليزية، ويستخدمون خدمات جوجل المختلفة لإجراء عملياتهم، وشراء حسابات على منصات التوظيف، وأرقام أمان تسلسلية، وما إلى ذلك. تكشف بعض لقطات الشاشة لسجل متصفح هؤلاء العملاء عن انخفاض مستوى كفاءتهم التقنية. ووفقًا لـ ZachXBT، فإن توظيف عميل كوري شمالي هو " إهمال تام ". ويرى أن اكتشاف أن المرشح عميل من جمهورية كوريا الديمقراطية الشعبية ليس بالأمر الصعب.
ومع ذلك، وعلى الرغم من حقيقة أن عملاء جمهورية كوريا الديمقراطية الشعبية سيئون في العمل ويتم طردهم بسرعة، فإنهم يجدون وظائف جديدة؛ وعادةً ما يتولى العديد من العملاء مناصب في نفس الشركة في وقت واحد، ويتمكنون في النهاية من سرقة العملات المشفرة.
اعتاد قراصنة كوريا الشمالية غسل الأصول المسروقة عبر منصتي بينانس وكوين بيس، لكنهم اضطروا إلى إيجاد طرق أخرى مع ازدياد تدقيق هاتين المنصتين في إجراءات معرفة العميل/مكافحة غسل الأموال. فطوروا سلسلة من وسطاء التداول المباشر. كما يستخدم القراصنة الكوريون منصات خلط العملات المشفرة التي تحجب بيانات المعاملات. وفيما يتعلق بنشاط مجموعة لازاروس، سمّت وزارة الخزانة الأمريكية هذه المنصات باسم سندباد وتورنادو كاش وبلندر.
وفقًا لـ ZachXBT، تُهمل شركة Circle، وهي شركة عامة تُعدّ منافسًا رئيسيًا لشركة Tether، استخدام عملتها المستقرة USDC في عمليات غسل الأموال المتعلقة بكوريا الشمالية، وهي الشركة الوحيدة التي لم تُجمّد المحافظ المُعلّمة عندما أثار ZachXBT الأمر. وفي النهاية، جمّدت الشركة العناوين المُتورطة في عملية الاختراق بعد أشهر. وردّ الرئيس التنفيذي لشركة Circle، جيريمي ألير، على انتقادات ZachXBT قائلاً إن الشركة لن تُجمّد العناوين بناءً على تحقيق ZachXBT فقط. وكان طلب جهات إنفاذ القانون ضروريًا.
اتهم ZachXBT شركة Circle بالسماح لمخترقين كوريين باستخدام USDC لتحقيق أرباح من خلال رسوم المعاملات. وُجّهت ادعاءات مماثلة ضد محفظة MetaMask، التي يُزعم تورطها في عمليات غسل الأموال في جمهورية كوريا الديمقراطية الشعبية.
بينما يُقلل ZachXBT من شأن تعقيد عملاء كوريا الشمالية عند محاولتهم التسلل إلى شركات التكنولوجيا، فإن لدى Coinbase أسبابها للحذر. فبما أن Coinbase مسؤولة عن حفظ أكثر من 2.2 مليون بيتكوين ، أي أكثر من 10% من إجمالي المعروض، فقد لا يبدو فرض سيطرة واسعة على الأعمال أمرًا ضروريًا.
