يُشتبه في أن مخترقين من كوريا الشمالية هم السبب وراء الهجوم الإلكتروني على القطاع المالي التركي، حسبما ورد في تقريرٍ صادر عن "مكافي" في الثامن من مارس.
وقد كشف فريق أبحاث مكافي للتهديدات المتقدمة محاولة من مجموعة القرصنة "هيدن كوبرا" لاختراق أمن المؤسسات المالية المدعومة من الحكومة التركية في الثاني والثالث من مارس.
وفي حين أن سياسة "مكافي" هي عدم تحديد مجموعات الإنترنت بشكلٍ رسمي من الدول القومية كجناة، فإنها تذكر في التقرير أن كود البرمجيات الخبيثة المعنية يشبه إلى حدٍ كبير الكود التي استخدمتها أحد محاولات الاختراق المرتبطة بكوريا الشمالية.
وقد استخدم المخترقون برمجيات خبيثة معدلة معروفة باسم "بانكشوت" والتي استخدمت ثغرة تم الكشف عنها مؤخرًا في "أدوب فلاش". وحاول المهاجمون إغراء ضحاياهم برسائل إلكترونية للتصيد الاحتيالي الموجّه تحتوي على ملف "مايكروسوفت ورد" مصابًا يحمل اسم Agreement.docx.
وجاء في التقرير أن الملف يبدو أنه نموذج اتفاق لتوزيع بيتكوين بين شخص مجهول في باريس وبورصة عملات رقمية غير محددة.
وقد تم توزيع زرعات "بانكشوت" من مجال مشابه لمنصة إقراض العملات الرقمية، فالكون كوين، ولكن تم إنشاء النطاق الخبيث falcancoin.io في السابع والعشرين من ديسمبر ٢٠١٧، وهو غير مرتبط قانونًا بالمنصة الأصلية.
وعلى الرغم من عدم وجود تقارير عن سرقة أي أموال في الهجمات، يعتقد فريق البحث أن الحملة تهدف إلى الوصول عن بعد إلى الأنظمة الداخلية للمؤسسات المالية التي تسيطر عليها الحكومة. ومع ذلك، لا يكشف التقرير عن المؤسسات المحددة التي تأثرت.
وقد اكتشف فريق "مكافي" أيضًا وثيقتين مكتوبتين باللغة الكورية، والتي يبدو أنها جزءٌ من حملة الاختراق نفسها، ولكنها كانت موجهة لأهداف مختلفة.
وفي ديسمبر ٢٠١٧، أصدرت الحكومة الأمريكية تحذيرًا حول برامج "بانكشوت" الضارة، وربطها بهيدين كوبرا، وهي مجموعة من المخترقين الذين تعتبرهم الحكومة الأمريكية مجرمي إنترنت خبيثين يعملون لحساب حكومة كوريا الشمالية.
وقد اتُهمت كوريا الشمالية مرارًا وتكرارًا باختراق بورصات العملات الرقمية بكوريا الجنوبية، مع تشديد العقوبات الدولية على البلاد خلال العام الماضي.