أثار باحث الأمن في شركة Paradigm، سامتشسون، مخاوف من أن العمليات السيبرانية لكوريا الشمالية تمتد إلى ما هو أبعد من مجموعة Lazarus سيئة السمعة.
وتأتي تحذيراته في الوقت الذي تخرج فيه صناعة العملات المشفرة من عملية اختراق Bybit الأخيرة ، والتي ورد أنها تضمنت اختراقًا متطورًا للبنية التحتية لـ SafeWallet.
شكّل هذا الهجوم تحولاً جذرياً عنحوادث القرصنة الكورية الشمالية السابقة. فبدلاً من استهداف Bybit مباشرةً، نجح المخترقون في اختراق Safe{Wallet}.
ويسلط هذا التحول في التكتيكات الضوء على التطور المتزايد لاستراتيجياتهم ويثير مخاوف كبيرة بشأن أمن النظام البيئي الأوسع للعملات المشفرة.
وبحسب سامكسون ، فإن الجرائم الإلكترونية المدعومة من كوريا الشمالية ليست عمل مجموعة واحدة فحسب، بل هي شبكة من الجهات الفاعلة المهددة التي ترعاها الدولة والتي تعمل تحت أسماء مختلفة.
هيكل الحرب السيبرانية في كوريا الشمالية
يُحلل سامتشسون التهديد السيبراني لكوريا الشمالية منذ سنوات. ويوضح أن تسمية جميع أنشطة كوريا الشمالية السيبرانية بـ"مجموعة لازاروس" تُبسط شبكةً أكثر تعقيدًا بكثير.
تُدار عمليات القرصنة في كوريا الشمالية بشكل رئيسي من خلال مكتب الاستطلاع العام، وهو وكالة استخبارات تُشرف على وحدات قرصنة متعددة. وتشمل هذه الوحدات ليس فقط مجموعة لازاروس، بل أيضًا APT38 وAppleJeus وفرقًا متخصصة أخرى.
لكلٍّ من هذه المجموعات مجال تركيز مختلف. على سبيل المثال، تشتهر مجموعة لازاروس بهجماتها الإلكترونية البارزة، بما في ذلك اختراق شركة سوني بيكتشرز عام ٢٠١٤ وسرقة بنك بنغلاديش عام ٢٠١٦. أما مجموعة APT38، فتتخصص في الجرائم المالية، بما في ذلك الاحتيال المصرفي وسرقة العملات المشفرة.
وكتب سامكسون "APT38، التي انبثقت عن مجموعة لازاروس في عام 2016 تقريبًا من أجل التركيز على الجرائم المالية، واستهداف البنوك (مثل بنك بنغلاديش) أولاً، ثم العملات المشفرة لاحقًا".
استهدفت شركة AppleJeus مستخدمي العملات المشفرة ببرامج ضارة متخفية في شكل تطبيقات تداول.
وتعمل هذه المجموعات تحت مظلة الحكومة نفسها، مما يساعد في تمويل برامج الأسلحة في كوريا الشمالية والتهرب من العقوبات الدولية.
أصبحت العملات المشفرة الآن هدفًا لكوريا الشمالية
لجأت كوريا الشمالية إلى العملات المشفرة كمصدر رئيسي للدخل. على عكس التمويل التقليدي، تتسم معاملات العملات المشفرة باللامركزية، وغالبًا ما يصعب تتبعها أو تجميدها.
يستغل قراصنة كوريا الشمالية هذا الأمر من خلال اختراق البورصات ونشر البرامج الضارة واستخدام عروض عمل وهمية للوصول إلى الأنظمة الداخلية.
من الأمثلة على ذلك عملاء "واغيمول"، وهم موظفون كوريون شماليون في مجال تكنولوجيا المعلومات يتسللون إلى شركات تقنية شرعية. يبدو هؤلاء الأفراد موظفين عاديين، لكنهم يستغلون أحيانًا وصولهم لسرقة الأموال أو اختراق الأنظمة.
وقد ظهر هذا التكتيك في عملية استغلال Munchables ، حيث قام موظف مرتبط بكوريا الشمالية باستنزاف الأصول من البروتوكول.
هناك طريقة أخرى تتمثل في هجمات سلاسل التوريد، حيث يخترق المتسللون مزودي البرامج الذين يخدمون شركات العملات المشفرة. في إحدى الحالات، زرع متسللو AppleJeus برمجيات خبيثة في أداة اتصالات شائعة الاستخدام، مما أثر على ملايين المستخدمين.
وفي حادثة أخرى، اخترق مهاجمون من كوريا الشمالية أحد المقاولين الذين يعملون مع شركة راديانت كابيتال، وحصلوا على إمكانية الوصول إليه من خلال الهندسة الاجتماعية على تيليجرام، وفقًا لسامكسون.
ماذا يعني هذا بالنسبة للعملات المشفرة؟
حذّر سامتشسون من تطور العمليات السيبرانية لكوريا الشمالية. ويُظهر هجوم بايبيت أن القراصنة يستهدفون الآن مزودي البنية التحتية، وليس فقط منصات التداول.
وهذا يعني أن النظام البيئي للعملات المشفرة بأكمله – من المحافظ إلى منصات العقود الذكية – قد يكون معرضًا للخطر.
بالنسبة لمستخدمي العملات المشفرة وشركاتها، فإن الاستنتاج الرئيسي هو أن التهديدات الإلكترونية الكورية الشمالية تتجاوز مجموعة لازاروس وعمليات اختراق منصات التداول البسيطة. يحتاج هذا القطاع إلى بروتوكولات أمنية أقوى، وتبادل معلومات استخباراتية أفضل، ووعي أكبر بتهديدات الهندسة الاجتماعية.
