سرق المتسللون الكوريون الشماليون مليارات الدولارات من العملات المشفرة من خلال التظاهر بأنهم أصحاب رأس مال مغامر، وموظفون، وعاملون في مجال تكنولوجيا المعلومات

قد لا يبدو أن هناك الكثير من القواسم المشتركة بين صاحب رأس المال المغامر، وموظف توظيف من شركة كبيرة، وعامل تكنولوجيا معلومات عن بعد تم تعيينه حديثًا، ولكن تم القبض عليهم جميعًا كمحتالين يعملون سرًا لصالح النظام الكوري الشمالي، وفقًا لباحثين أمنيين.

يوم الجمعة في Cyberwarcon، وهو مؤتمر سنوي في واشنطن العاصمة يركز على التهديدات التخريبية في الفضاء الإلكتروني، قدم باحثون أمنيون تقييمهم الأحدث للتهديد من كوريا الشمالية. وحذر الباحثون من محاولة متواصلة من جانب قراصنة البلاد للتظاهر بأنهم موظفون محتملون يبحثون عن عمل في شركات متعددة الجنسيات، بهدف كسب المال للنظام الكوري الشمالي وسرقة أسرار الشركات التي تفيد برنامج الأسلحة الخاص به. وقد جمع هؤلاء المحتالون مليارات الدولارات من العملات المشفرة المسروقة على مدى العقد الماضي لتمويل برنامج الأسلحة النووية في البلاد، متهربين من مجموعة كبيرة من العقوبات الدولية.

قال جيمس إليوت، الباحث الأمني ​​في مايكروسوفت، في حديث حول Cyberwarcon، إن العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية قد تسللوا بالفعل إلى “مئات” المنظمات في جميع أنحاء العالم من خلال إنشاء هويات مزيفة، مع الاعتماد على الميسرين المقيمين في الولايات المتحدة للتعامل مع محطات العمل والأرباح التي تصدرها الشركة لتفادي الهجمات. العقوبات المالية التي تنطبق على الكوريين الشماليين.

يرى الباحثون الذين يحققون في القدرات السيبرانية للبلاد أن التهديد المتزايد من كوريا الشمالية اليوم هو كتلة غامضة من مجموعات القرصنة المختلفة ذات التكتيكات والتقنيات المختلفة، ولكن مع هدف جماعي يتمثل في سرقة العملات المشفرة. لا يواجه النظام سوى القليل من المخاطر الناجمة عن عمليات الاختراق، فالبلاد تعاني بالفعل من العقوبات.

قامت مجموعة من المتسللين الكوريين الشماليين، والتي تسميها مايكروسوفت “روبي سليت”، باختراق شركات الطيران والدفاع بهدف سرقة أسرار الصناعة التي يمكن أن تساعد في تطوير أسلحتها وأنظمة الملاحة.

قامت مايكروسوفت بتفصيل مجموعة أخرى من المتسللين الكوريين الشماليين، الذين أطلقت عليهم اسم “Sapphire Sleet”، الذين تنكروا في هيئة مسؤولي توظيف ورأسماليين مغامرين في حملات تهدف إلى سرقة العملات المشفرة من الأفراد والشركات. بعد الاتصال بالهدف من خلال إغراء أو تواصل أولي، يقوم المتسللون الكوريون الشماليون بإعداد اجتماع افتراضي، لكن الاجتماع تم تصميمه في الواقع ليتم تحميله بشكل غير صحيح.

في سيناريو VC المزيف، يقوم المحتال بعد ذلك بالضغط على الضحية لتنزيل برامج ضارة متنكرة في شكل أداة لإصلاح الاجتماع الافتراضي المعطل. في حملة المجند المزيف، يطلب المحتال من المرشح المحتمل تنزيل وإكمال تقييم المهارات، والذي يحتوي بالفعل على برامج ضارة. بمجرد التثبيت، يمكن للبرامج الضارة الوصول إلى مواد أخرى على الكمبيوتر، بما في ذلك محافظ العملات المشفرة. وقالت مايكروسوفت إن المتسللين سرقوا ما لا يقل عن 10 ملايين دولار من العملات المشفرة خلال فترة ستة أشهر فقط.

لكن الحملة الأكثر استمرارًا وصعوبة في مكافحتها هي الجهود التي يبذلها قراصنة الكمبيوتر من كوريا الشمالية لتعيينهم كعاملين عن بعد في الشركات الكبرى، مستفيدين من طفرة العمل عن بعد التي بدأت خلال جائحة كوفيد – 19.

وصفت مايكروسوفت العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية بأنهم “تهديد ثلاثي” لقدرتهم على الحصول على وظائف بشكل مخادع مع الشركات الكبرى وكسب المال للنظام الكوري الشمالي، مع سرقة أسرار الشركة والملكية الفكرية، ثم ابتزاز الشركات بالتهديد بالكشف عن أسرار الشركة. معلومة.

ومن بين مئات الشركات التي قامت عن غير قصد بتعيين جاسوس كوري شمالي، لم يتقدم علناً إلا عدد قليل من الشركات كضحايا. قالت شركة الأمن KnowBe4 في وقت سابق من هذا العام إنه تم خداعها لتوظيف موظف كوري شمالي، لكن الشركة منعت الوصول عن بعد للعامل بمجرد أن أدركت أنه تم خداعه، وقالت إنه لم يتم أخذ أي بيانات للشركة.

كيف يخدع عمال تكنولوجيا المعلومات في كوريا الشمالية الشركات لتوظيفهم

تقوم حملة نموذجية لموظفي تكنولوجيا المعلومات في كوريا الشمالية بإنشاء سلسلة من الحسابات عبر الإنترنت، مثل الملف الشخصي على LinkedIn وصفحة GitHub، لتحديد مستوى من المصداقية المهنية. يمكن لعامل تكنولوجيا المعلومات إنشاء هويات مزيفة باستخدام الذكاء الاصطناعي، بما في ذلك استخدام تقنية تبديل الوجه وتغيير الصوت.

بمجرد التعيين، تقوم الشركة بشحن الكمبيوتر المحمول الجديد الخاص بالموظف إلى عنوان منزل في الولايات المتحدة، والذي، دون علم الشركة، يديره منسق مكلف بإنشاء مزارع من أجهزة الكمبيوتر المحمولة الصادرة عن الشركة. يقوم الميسر أيضًا بتثبيت برنامج الوصول عن بعد على أجهزة الكمبيوتر المحمولة، مما يسمح لجواسيس كوريا الشمالية على الجانب الآخر من العالم بتسجيل الدخول عن بعد دون الكشف عن موقعهم الحقيقي.

وقالت مايكروسوفت إنها لاحظت أيضًا أن جواسيس البلاد يعملون ليس فقط من كوريا الشمالية ولكن أيضًا من روسيا والصين، الحليفين الوثيقين للدولة الانفصالية، مما يجعل من الصعب على الشركات التعرف على جواسيس كوريين شماليين مشتبه بهم في شبكاتهم.

قال إليوت من مايكروسوفت إن الشركة حظيت بفرصة محظوظة عندما تلقت عن غير قصد مستودعًا عامًا يخص أحد العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، ويحتوي على جداول بيانات ومستندات تحلل الحملة بالتفصيل، بما في ذلك ملفات الهويات المزيفة والسير الذاتية لعمال تكنولوجيا المعلومات في كوريا الشمالية. كانوا يستخدمون للحصول على التعاقد ومبلغ الأموال التي تم جنيها خلال العملية. وصف إليوت عمليات إعادة الشراء بأنها تحتوي على “قواعد اللعبة الكاملة” للمتسللين لتنفيذ سرقة الهوية.

قد يستخدم الكوريون الشماليون أيضًا الحيل التي يمكن أن تعرضهم على أنهم مزيفون، مثل التحقق الفوري من حسابات LinkedIn الخاصة بهوياتهم المزيفة بمجرد حصولهم على عنوان البريد الإلكتروني للشركة لمنح الحسابات تصورًا أكبر للشرعية.

لم يكن هذا هو المثال الوحيد الذي قدمه الباحثون عن إهمال المتسللين الذي ساعد في الكشف عن الطبيعة الحقيقية لعملياتهم.

قال باحث أمني يحمل اسم SttyK إنهم حددوا العاملين المشتبه بهم في مجال تكنولوجيا المعلومات في كوريا الشمالية، وذلك جزئيًا عن طريق الاتصال بهم للكشف عن الثغرات الموجودة في هوياتهم المزيفة، والتي لا يتم إنشاؤها دائمًا بعناية.

في حديثهم حول Cyberwarcon، قالت SttyK إنهم تحدثوا مع أحد عمال تكنولوجيا المعلومات الكوريين الشماليين المشتبه بهم والذي ادعى أنه ياباني، لكنه سيرتكب أخطاء لغوية في رسائلهم، مثل استخدام كلمات أو عبارات غير موجودة أصلاً في اللغة اليابانية. وكانت هوية عامل تكنولوجيا المعلومات بها عيوب أخرى، مثل الادعاء بامتلاك حساب مصرفي في الصين ولكن وجود عنوان IP يحدد موقع الفرد في روسيا.

وفرضت الحكومة الأمريكية بالفعل عقوبات على المنظمات المرتبطة بكوريا الشمالية في السنوات الأخيرة ردًا على مخطط العاملين في مجال تكنولوجيا المعلومات. وحذر مكتب التحقيقات الفيدرالي أيضًا من أن الجهات الفاعلة الخبيثة تستخدم في كثير من الأحيان الصور التي تم إنشاؤها بواسطة الذكاء الاصطناعي، أو “التزييف العميق”، والتي غالبًا ما يتم الحصول عليها من هويات مسروقة، للحصول على وظائف تقنية. في عام 2024، وجه المدعون العامون الأمريكيون اتهامات ضد عدة أفراد بإدارة مزارع أجهزة الكمبيوتر المحمول التي تسهل الالتفاف على العقوبات.

لكن الباحثين حثوا الشركات أيضًا على القيام بفحص أفضل لموظفيها المحتملين.

قال إليوت: “إنهم لن يرحلوا”. “سيبقون هنا لفترة طويلة.”