قراصنة كوريا الشمالية ينتحلون هويات للاندماج في الشركات الكبرى

كشف باحثون أمنيون أن مستثمرين رأسماليين، ومسؤولين عن التوظيف في شركات كبرى، وموظفين جدد في قطاع تكنولوجيا المعلومات قد تورطوا كمنتحلين يعملون سرًا لصالح نظام كوريا الشمالية. جاء هذا الإعلان خلال مؤتمر “Cyberwarcon” السنوي في واشنطن العاصمة، والذي يركز على التهديدات الإلكترونية التخريبية.

حذر الباحثون من جهود مستمرة من قبل قراصنة كوريا الشمالية للتنكر كموظفين محتملين يسعون للعمل في شركات متعددة الجنسيات. وتهدف هذه الجهود إلى جني الأموال لصالح النظام الكوري الشمالي وسرقة الأسرار التجارية التي تُستخدم لدعم برنامج الأسلحة الخاص به. على مدى العقد الماضي، جمع هؤلاء المنتحلون مليارات الدولارات من العملات الرقمية المسروقة لتمويل البرنامج النووي للبلاد، متجاوزين العقوبات الدولية المفروضة عليهم.

قال الباحث الأمني في شركة مايكروسوفت، جيمس إليوت، خلال حديثه في المؤتمر، إن عمال تكنولوجيا المعلومات الكوريين الشماليين قد تسللوا بالفعل إلى “مئات” المنظمات حول العالم. يتم ذلك عبر إنشاء هويات مزيفة والاعتماد على وسطاء في الولايات المتحدة لتشغيل أجهزة الحواسيب المخصصة من قبل الشركات وإدارة أرباحهم، مما يسمح لهم بتجاوز العقوبات المالية المفروضة على الكوريين الشماليين.

يرى الباحثون أن تهديد كوريا الشمالية الإلكتروني يتصاعد اليوم، ويظهر كشبكة مبهمة من مجموعات القرصنة المختلفة التي تتبع تكتيكات وأساليب متنوعة، ولكنها تتشارك الهدف الجماعي المتمثل في سرقة العملات الرقمية. في ظل العقوبات المفروضة، تواجه كوريا الشمالية مخاطر محدودة نتيجة هذه الهجمات.

من بين هذه المجموعات، استهدفت مجموعة “Ruby Sleet”، التي صنفتها مايكروسوفت، شركات الطيران والدفاع لسرقة أسرار صناعية تعزز تطوير أنظمة الأسلحة والملاحة. بينما قامت مجموعة أخرى تُدعى “Sapphire Sleet” بالتنكر كمسؤولين عن التوظيف ومستثمرين رأسماليين في حملات تهدف إلى سرقة العملات الرقمية من الأفراد والشركات.

في إحدى السيناريوهات، يقوم المنتحل بالضغط على الضحية لتحميل برامج ضارة متخفية كأداة لإصلاح اجتماعات افتراضية معطلة. وفي حملات التوظيف المزيفة، يُطلب من المرشحين تنزيل اختبارات تقييم تحتوي على برمجيات خبيثة. عند تثبيتها، يمكن للبرمجيات الوصول إلى المواد الموجودة على الحاسوب، بما في ذلك محافظ العملات الرقمية.

التحدي الأكبر يتمثل في محاولة القراصنة من كوريا الشمالية الحصول على وظائف عن بُعد في شركات كبرى، مستغلين الطفرة في العمل عن بُعد التي بدأت خلال جائحة كوفيد-19.

وصفت مايكروسوفت عمال تكنولوجيا المعلومات الكوريين الشماليين بأنهم “تهديد ثلاثي”، حيث ينجحون في خداع الشركات لتوظيفهم، ويكسبون المال لصالح النظام الكوري الشمالي، ويسرقون الأسرار التجارية والملكية الفكرية، ثم يبتزون الشركات بتهديدات بنشر المعلومات.

كشف باحثون أن حملات العمال الكوريين الشماليين تشمل إنشاء سلسلة من الحسابات الإلكترونية، مثل ملفات تعريف على “LinkedIn” وصفحات على “GitHub”، لبناء مصداقية مهنية. كما يستخدمون تقنيات الذكاء الاصطناعي لتوليد هويات مزيفة، بما في ذلك صور الوجه وتغيير الأصوات.

عند توظيفهم، تُرسل الشركات الأجهزة المخصصة للعمل إلى عناوين داخل الولايات المتحدة يديرها وسطاء يتولون إعداد الأجهزة وتثبيت برامج الوصول عن بُعد، مما يتيح للقراصنة الكوريين الشماليين الوصول إليها من مواقعهم الحقيقية دون الكشف عن هوياتهم.

وأشار الباحثون إلى أن هؤلاء القراصنة يعملون أيضًا من روسيا والصين، مما يجعل من الصعب على الشركات التعرف عليهم. وقال جيمس إليوت من مايكروسوفت إنهم تمكنوا من اكتشاف وثائق تحتوي على تفاصيل الحملة، بما في ذلك الهويات المزيفة والسير الذاتية المستخدمة.

وفي حديث آخر خلال المؤتمر، أشار باحثون إلى الأخطاء التي تكشف عن هويات العمال المزيفة. على سبيل المثال، ادعى أحدهم أنه ياباني، لكنه ارتكب أخطاء لغوية تكشف عن هويته الحقيقية. كما أن بعض الهويات المزيفة تتضمن معلومات غير متناسقة، مثل امتلاك حساب مصرفي في الصين واستخدام عنوان IP يحدد الموقع في روسيا.

فرضت الحكومة الأمريكية عقوبات على كيانات مرتبطة بكوريا الشمالية نتيجة لهذه المخططات، وأصدرت تحذيرات حول استخدام الصور المُولدة بالذكاء الاصطناعي للحصول على وظائف تقنية. ومع ذلك، شدد الباحثون على أن الشركات يجب أن تكون أكثر دقة في التحقق من موظفيها المحتملين.

وقال إليوت في ختام حديثه: “لن يختفوا. سيظلون هنا لفترة طويلة.”