أصدرت الشركة الأمريكية للأمن الإلكتروني، "ريكوردد فيوتشر"، تقريرًا جديدًا يربط بين "لازاروس"، وهي مجموعة مخترقين بكوريا الشمالية، وبين عدة هجمات قرصنة واختراقات أمنية على بورصة عملات رقمية بكوريا الجنوبية.

وقد أشار باحثو الشركة، في تقريرٍ بعنوان "كوريا الشمالية استهدفت بورصات ومستخدمي العملات الرقمية بكوريا الجنوبية في هجوم بأواخر عام ٢٠١٧"، إلى أنَّ نفس النوع من البرمجيات الخبيثة المستخدمة في الاختراق الامني لشركة "سوني بيكتشرز" وهجوم "واناكراي" الإلكتروني قد استُخدمت كذلك لاستهداف بورصة العملات الرقمية "كوين لينك" بكوريا الجنوبية.

ويقول التقرير: "واصلت الأطراف الفاعلة بحكومة كوريا الشمالية، وتحديدًا مجموعة لازاروس، استهداف بورصات ومستخدمي العملات الرقمية بكوريا الجنوبية أواخر عام ٢٠١٧، وذلك قبل خطاب "كيم جونغ أون" بمناسبة العام الجديد وقبل محادثات كوريا الشمالية اللاحقة. وقد استخدمت البرمجيات الخبيثة شفرة مشتركة مع فيروس "ديستوفر"، والذي كان قد استُخدم ضد شركة "سوني بيكتشرز إنترتينمنت" في عام ٢٠١٤، وأول ضحية واناكراي في فبراير ٢٠١٧".

سرقة ٧ ملايين دولار من "بيثمب"

وقعت "بيثمب"، وهي ثاني أكبر بورصة عملات رقمية بالسوق العالمي وفقًا لحجم التداول اليومي، ضحية لاختراق أمني في فبراير ٢٠١٧ أدى إلى خسارة ما يُقارب مبلغ ٧ ملايين دولار من أموال المستخدمين، معظمها من بيتكوين والعملة الرقمية الأصلية لإيثريوم "إيثر".

وأشار التقرير الصادر عن "ريكوردد فيوتشر" إلى أنَّ الاختراق الأمني لبورصة "بيثمب" والبالغ قيمته ٧ ملايين دولار كان ذي صلة بمخترقي كوريا الشمالية. وأظهر الباحثون بمجموعة "إنسكت"، وهي مجموعة من الباحثين المختصين بالعملات الرقمية تقوم بتعقب أنشطة مخترقي كوريا الشمالية عن كثب وبانتظام، أن مجموعة "لازاروس" على وجه التحديد كانت قد استخدمت مجموعة من الأدوات بدءًا من هجمات التصيّد الاحتيالي الموجّه وصولًا إلى نشر البرمجيات الخبيثة عبر منصات الاتصال وذلك للوصول إلى محافظ وحسابات العملات الرقمية.

وكانت إحدى الطرق التي استخدمتها مجموعة "لازاروس" هي نشر ملفات نصية عبر البريد الإلكتروني بصيغة "هانغول وورد بروسيسور"، المكافئ لوثائق برنامج مايركروسوفت وورد بكوريا الجنوبية، مرفق بها البرمجيات الخبيثة. فإذا ما قام أي مستخدم للعملات الرقمية بتنزيل البرمجيات الخبيثة فإنها، وبصورة تلقائية، تثبت نفسها وتعمل في الخلفية بالتحكم في البيانات المخزنة على ذلك الجهاز المحدد أو التلاعب بها.

CVE

حيث كتب باحثو مجموعة "إنسكت": "كانت الأطراف الفاعلة بكوريا الشمالية، بحلول عام ٢٠١٧، قد اتبعت تيار العملات الرقمية الشائع. حيث تمت أول عملية معروفة على العملات الرقمية بكوريا الشمالية في شهر فبراير ٢٠١٧، بسرقة ٧ ملايين دولار (في ذلك الوقت) من العملات الرقمية من بورصة "بيثمب" بكوريا الجنوبية. وبحلول نهاية عام ٢٠١٧، كان العديد من الباحثين قد أبلغوا عن هجمات إضافية من التصيد الاحتيالي الموجه ضد بورصات العملات الرقمية في كوريا الجنوبية، فضلًا عن عدد كبير من السرقات الناجحة، وعمليات تعدين بيتكوين ومونيرو".

دوافع مخترقي كوريا الشمالية

وفي وقتٍ سابق لصدور تقرير "ريكوردد فيوتشر"، كانت العديد من شركات العملات الرقمية الأخرى قد اتهمت مجموعات مخترقي كوريا الشمالية باستهداف منصات تداول العملات الرقمية في كوريا الجنوبية عبر برمجيات خبيثة متطورة وأدوات هجوم تصيد احتيالي.

وكان الباحثون في شركة "فاير آي" قد ربطوا بين ست هجمات إلكترونية موجهة ضد بورصات العملات الرقمية بكوريا الجنوبية وبين مخترقين ممولين من الدولة مقرهم كوريا الشمالية. ووفقًا لموقع "كورينتيليغراف"، فقد كانت تحقيقات الشرطة ووكالة الأمن والإنترنت الكورية مؤخرًا قد بدأت تحقيقًا شاملًا في واقعة اختراقٍ أمني أدت إلى إفلاس منصة "يوبيت" وهي منصة تداول عملات رقمية بكوريا الجنوبية

وفي ذلك الحين، ذكر المحققون المحليون أنهم قد وجدوا دليلًا يربط الاختراق الأمني لمنصة "يوبيت" بمخترقين من كوريا الشمالية. وقال "لوك ماكنامارا"، محلل بشركة "فاير آي"، لموقع "بلومبرغ" أن أدوات مشابهة لتلك التي استخدمت على نطاقٍ واسع من جانب مخترقين من كوريا الشمالية كانت قد استخدمت في هجوم اختراق "يوبيت".

"يُعد هذا خصمًا أصبح قادرًا بدرجة متزايدة وأيضًا فجًا من حيث الأهداف التي هو على استعداد للسعي خلفها. وهذا حقًا مجرد شق ضمن استراتيجية أكبر يبدو أنها مستخدمة منذ على الأقل عام ٢٠١٦، حيث كانوا في الواقع يستخدمون إمكانات، كانت تستخدم بالأساس في أعمال التجسس، لسرقة المبالغ المالية".