النموذج: الكشف عن مجموعة القراصنة الكورية الشمالية لازاروس
إعادة توجيه العنوان الأصلي 'باراديغم: الكشف عن تهديد مجموعة القراصنة الكوريين الشماليين لازاروس غروب'
نقاش حول مجموعة لازاروس - الجاني وراء اختراق بايبت - من وجهة نظر الهيكل التنظيمي، وطرق الهجوم، واستراتيجيات الدفاع.
في صباح شهر فبراير، اشتعلت الأضواء في مجموعة الدردشة SEAL 911. لقد نظرنا بارتباك وتخبط بينما قام Bybit بنقل أكثر من مليار دولار من الرموز من محفظتهم الباردة إلى عنوان جديد تمامًا وبدأوا بسرعة في تصفية أكثر من 200 مليون دولار في LST. في غضون دقائق، من خلال التواصل مع فريق Bybit والتحليل المستقل (الذي يشمل التوقيع المتعدد وتنفيذ محفظة آمنة محققة مسبقًا، تم استبدالها الآن بعقد جديد مطروح وغير محقق)، أكدنا أن هذا لم يكن صيانة روتينية. شخص ما قد شن للتو هجومًا من أكبر الاختراقات في تاريخ العملات المشفرة - وكنا نجلس في المقدمة.
بينما جزء من الفريق (جنبًا إلى جنب مع المجتمع الاستقصائي الأوسع) بدأ تتبع الأموال وإعلام بورصات الشريك، حاول آخرون معرفة ما حدث بالضبط وما إذا كانت هناك مخاطر إضافية للأموال. لحسن الحظ، كان تحديد الجاني سهلاً. خلال السنوات القليلة الماضية، كان هناك تهديد واحد معروف فقط قد سرق مليارات من بورصات العملات المشفرة بنجاح: كوريا الشمالية، المعروفة أيضًا باسم كوريا الشمالية.
ومع ذلك ، أبعد من ذلك ، لم يكن لدينا الكثير لنستمر فيه. نظرا للطبيعة الماكرة ومهارات التعتيم الاستثنائية للقراصنة الكوريين الشماليين ، كان من الصعب للغاية تحديد السبب الجذري للاختراق - ناهيك عن الفريق المحدد داخل كوريا الشمالية المسؤول. كل ما كان لدينا هو معلومات استخباراتية موجودة تشير إلى أن مشغلي كوريا الديمقراطية غالبا ما يعتمدون على تكتيكات الهندسة الاجتماعية للتسلل إلى بورصات العملات المشفرة. بناء على ذلك ، افترضنا أنهم قاموا باختراق الموقعين متعددي ال Sig من Bybit ونشروا برامج ضارة للتدخل في عملية التوقيع.
كما تبين، فإن تلك الافتراضات كانت خاطئة تماماً. وبعد أيام قليلة، اكتشفنا أن كوريا الشمالية قد اخترقت بنية تحتية لمحفظة Safe Wallet نفسها ونشرت حملة زائدة خبيثة مخصصة تستهدف Bybit. كان تعقيد هذا الهجوم فوق أي شيء توقعه أي شخص أو أعد له - مما يشكل تحدياً جدياً للعديد من النماذج الأمنية الحالية في السوق.
هاكر هاكر الكوري الشمالي يمثل تهديدا متزايدا لصناعتنا. لا يمكننا هزيمة عدو لا نفهمه. على الرغم من وجود العديد من الحوادث الموثقة والمقالات حول العمليات السيبرانية الكورية الشمالية، فمن الصعب تجميعها جميعًا. آمل أن يساعد هذا النظرة العامة في تقديم صورة أوضح عن كيفية عمل كوريا الشمالية، واستراتيجياتهم وإجراءاتهم، وفي النهاية يساعدنا في تنفيذ التدابير الصحيحة للتخفيف.
هيكل تنظيمي
أحد أكبر الافتراضات الخاطئة التي يجب معالجتها هو كيفية تصنيف وتسمية الأنشطة السيبرانية الواسعة لكوريا الشمالية. بينما يُعتبر استخدام مصطلح "مجموعة لازاروس" على نطاق واسع كوسمة تجمعية مقبولًا، إلا أن توضيحًا أكثر دقة يكون مفيدًا عند مناقشة التهديد السيبراني النظامي الذي تشكله كوريا الشمالية بالتفصيل.
أولاً، يساعد في فهم "الرسم البياني التنظيمي" الخاص بكوريا الشمالية. في القمة هو الحزب السياسي الحاكم، والوحيد، حزب عمال كوريا (WPK)، الذي يشرف على جميع المؤسسات الحكومية. ويشمل ذلك الجيش الشعبي الكوري (KPA) واللجنة المركزية. ضمن KPA يوجد قسم الأركان العامة (GSD)، حيث يوجد مكتب الاستطلاع العام (RGB). تحت اللجنة المركزية يوجد قسم صناعة الذخيرة (MID).
يتولى RGB مسؤولية ما يقرب من جميع العمليات السيبرانية في كوريا الشمالية، بما في ذلك جميع الأنشطة الملاحظة في صناعة العملات المشفرة. بالإضافة إلى مجموعة لازاروس السيئة السمعة، تشمل العوامل التهديدية الأخرى التي تنشأ من RGB أبلجيوس، APT38، DangerousPassword، و TraderTraitor. من ناحية أخرى، يشرف MID على برنامج الصواريخ النووية لكوريا الشمالية وهو المصدر الرئيسي لعمال النظام الأساسي في الخارج. تحدد مجتمع الاستخبارات هؤلاء العوامل التهديدية على أنها مقابلة معدين وواجمول.
مجموعة لازاروس
تعتبر مجموعة لازاروس منظمة قرصنة متطورة للغاية. يعتقد خبراء الأمان السيبراني أن بعض أكبر وأكثر الهجمات السيبرانية تدميرًا في التاريخ تم تنفيذها من قبل هذه المجموعة. في عام 2016، حددت Novetta مجموعة لازاروس أثناء تحليل اختراق شركة سوني بيكتشرز الترفيهية.
في عام 2014، كانت سوني تنتج فيلم الحركة والكوميديا The Interview، الذي كان يتضمن الحبكة المركزية التي تشتمل على إذلال واغتيال كيم جونغ أون. من الواضح أن هذا لم يكن مرحبًا به من قبل نظام كوريا الشمالية، الذي رد على ذلك من خلال اختراق شبكة سوني، وسرقة عدة تيرابايت من البيانات، وتسريب مئات الجيجابايت من المعلومات السرية أو الحساسة، وحذف الأصليين. كما صرح المدير التنفيذي آنذاك، مايكل لينتون: "الأشخاص الذين فعلوا هذا لم يقوموا فقط بسرقة كل شيء في المنزل - بل حرقوا المنزل." في النهاية، أنفقت سوني على الأقل 15 مليون دولار على التحقيق والتصحيح المتعلق بالهجوم، وقد يكون الضرر الفعلي أعلى حتى.
في عام 2016 ، تسللت مجموعة قراصنة ذات أوجه تشابه مذهلة مع مجموعة لازاروس إلى بنك بنغلاديش في محاولة لسرقة ما يقرب من مليار دولار. على مدار عام ، شن المتسللون هجمات الهندسة الاجتماعية على موظفي البنك ، وفي النهاية تمكنوا من الوصول عن بعد والانتقال أفقيا داخل الشبكة حتى وصلوا إلى الكمبيوتر الذي يتفاعل مع نظام SWIFT. من هناك ، انتظروا الفرصة المثالية: تحتفل بنغلاديش بعطلة نهاية الأسبوع يوم الخميس ، بينما يأخذ بنك الاحتياطي الفيدرالي في نيويورك عطلة يوم الجمعة. في ليلة الخميس ، بالتوقيت المحلي ، استخدم المهاجمون وصول SWIFT الخاص بهم لإرسال 36 طلب تحويل منفصل إلى بنك الاحتياطي الفيدرالي في نيويورك - في وقت مبكر من صباح يوم الجمعة بالتوقيت المحلي. على مدار ال 24 ساعة التالية ، أحال بنك الاحتياطي الفيدرالي التحويلات إلى مؤسسة ريزال المصرفية التجارية (RCBC) في الفلبين ، والتي بدأت في معالجتها. بحلول الوقت الذي أعيد فيه فتح بنك بنغلاديش ، اكتشف الخرق وحاول الاتصال ب RCBC لوقف المعاملات ، فقط ليجد أن البنك قد أغلق في عطلة رأس السنة القمرية الجديدة.
ثم في عام 2017، أحدث هجوم واسع النطاق برنامج الفدية WannaCry 2.0 دمارًا في صناعات مختلفة عبر العالم، مع جزء من التسبب فيه للمجموعة المعروفة باسم لازاروس. يُقدر أنه تسبب في خسائر بالمليارات، استغل WannaCry ثغرة أمنية zero-day في نظام التشغيل Microsoft Windows والتي طورتها الأساسيات القومية الأمريكية. قام بتشفير الأجهزة المحلية ونشر نفسه عبر الأجهزة المتاحة، مصيبًا في النهاية مئات الآلاف من الأنظمة على مستوى العالم. لحسن الحظ، اكتشف الباحث الأمني ماركوس هاتشينز وحدث مفتاح إيقاف ضمن ثمان ساعات فقط، مما حد من مدى الضرر.
طوال تاريخها، أظهرت مجموعة لازاروس قدرة فنية ملحوظة وفاعلية تشغيلية. أحد أهدافهم الرئيسية هو توليد عائد لنظام كوريا الشمالية. لم يكن إلا وقتًا قبل أن يولوا اهتمامهم لصناعة العملات المشفرة.
فروع لازاروس وتهديدات متطورة
بمرور الوقت ، عندما أصبحت مجموعة لازاروس مصطلحا شاملا تستخدمه وسائل الإعلام بشكل شائع لوصف الأنشطة السيبرانية لكوريا الشمالية ، بدأت صناعة الأمن السيبراني في تطوير أسماء أكثر دقة لمجموعة لازاروس وعمليات محددة مرتبطة بكوريا الشمالية. APT38 هو أحد الأمثلة على ذلك. حوالي عام 2016 ، انفصلت عن مجموعة لازاروس للتركيز بشكل خاص على الجرائم المالية - التي استهدفت في البداية البنوك (مثل بنك بنغلاديش) ، وبعد ذلك ، العملة المشفرة. في عام 2018 ، تم اكتشاف تهديد جديد يعرف باسم AppleJeus يوزع برامج ضارة تستهدف مستخدمي العملات المشفرة. وفي عام 2018 أيضا، عندما أعلن مكتب مراقبة الأصول الأجنبية لأول مرة عن فرض عقوبات على شركتين وهميتين يستخدمهما الكوريون الشماليون، كان من الواضح بالفعل أن عملاء كوريين شماليين ينتحلون صفة عمال تكنولوجيا المعلومات قد تسللوا إلى صناعة التكنولوجيا.
عمال تكنولوجيا المعلومات الكوريين الشماليين
على الرغم من أن أقرب ذكر مسجل لعمال تكنولوجيا المعلومات الكوريين الشماليين يعود إلى عقوبات OFAC لعام 2018، فإن تقرير الوحدة 42 لعام 2023 قدم حسابًا أكثر تفصيلًا وحدد ممثلي تهديدين متميزين: مقابلة معدي وواجيمول.
مقابلة معديه معروفة بتقمص موظفي التوظيف من الشركات المعروفة لإغراء المطورين في عمليات مقابلات وهمية. يُطلب من المرشحين المحتملين استنساخ مستودع لإصلاح الأخطاء المحلية - الذي يُصوّر كجزء من تحدي البرمجة - ولكن المستودع يحتوي على باب خلفي. يمنح تنفيذ الكود المهاجمين السيطرة على الجهاز المتأثر. هذا النشاط مستمر، وتم تسجيل أحدث حادث في 11 أغسطس 2024.
من ناحية أخرى، لا يجذب Wagemole الضحايا - بل يتم توظيفهم من قبل شركات حقيقية، يندمجون كمهندسين عاديين، على الرغم من كونهم في كثير من الأحيان أقل إنتاجية. ومع ذلك، هناك حالات موثقة لعمال تقنية المعلومات يستخدمون وصولهم لأغراض خبيثة. في حادثة Munchables، استغل موظف مرتبط بالعمليات الكورية الشمالية الوصول الخاص إلى العقود الذكية وسرق جميع الأصول.
يتراوح مستوى التطور بين وكلاء واجيمول بشكل كبير. بعضهم يستخدم قوالب السيرة الذاتية العامة ويمتنع عن المكالمات الفيديو، بينما يقدم البعض الآخر سيرًا ذاتية مصممة خصيصًا، ويشارك في مقابلات فيديو مزيفة عميقة، ويقدم هويات مزورة مثل رخص القيادة وفواتير الخدمات العامة. في بعض الحالات، بقي الوكلاء داخل منظمات الضحايا لمدة تصل إلى عام قبل استغلال وصولهم لاختراق أنظمة أخرى و/أو سحب المبالغ نقدًا تمامًا.
AppleJeus
تركز AppleJeus في المقام الأول على توزيع البرامج الضارة ولديها مهارات في تنفيذ هجمات سلسلة توريد معقدة. في عام 2023، سمحت هجمة سلسلة التوريد 3CX بالمساعدة في إمكانية إصابة أكثر من 12 مليون مستخدم لبرنامج 3CX VoIP بالتهديد. تم اكتشاف لاحقًا أن 3CX نفسه تأثر بهجوم سلسلة التوريد على أحد مورديه الأماميين - Trading Technologies 13.
في صناعة العملات المشفرة، انتشر في البداية AppleJeus برمجيات ضارة متنكرة على أنها برامج قانونية، مثل منصات التداول أو محافظ العملات المشفرة. ومع مرور الوقت، تطورت تكتيكاتهم. في أكتوبر 2024، تم اختراق راديانت كابيتال من قبل مهاجم تنصل عن مقاول موثوق تم تقديم برمجيات ضارة عبر تليجرام. نسبت شركة Mandiant هذا الهجوم إلى AppleJeus.
كلمة مرور خطرة
كلمة المرور الخطرة مسؤولة عن الهجمات الهندسية الاجتماعية منخفضة التعقيد التي تستهدف صناعة العملات المشفرة. بالفعل في عام 2019، وثق JPCERT/CC أن كلمة المرور الخطرة كانت ترسل رسائل بريد إلكتروني احتيالية تحتوي على مرفقات جذابة للمستخدمين لتنزيلها. في السنوات الأخيرة، قامت كلمة المرور الخطرة بانتحال شخصيات معروفة في مجال العملات المشفرة لإرسال رسائل بريد إلكتروني احتيالية بعناوين مثل "مخاطر هائلة في العملات المستقرة والأصول الرقمية".
اليوم ، تواصل Dangerous Password إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي ولكنها وسعت أنشطتها لتشمل منصات أخرى. على سبيل المثال ، أبلغت Radiant Capital عن تلقي رسالة تصيد عبر Telegram من شخص يتظاهر بأنه باحث أمني. تضمنت الرسالة ملفا باسم "Penpie_Hacking_Analysis_Report.zip". بالإضافة إلى ذلك ، أبلغ المستخدمون عن الاتصال بهم من قبل أفراد ينتحلون صفة صحفيين أو مستثمرين يطلبون جدولة مكالمة باستخدام تطبيقات مؤتمرات الفيديو الغامضة. مثل Zoom ، تطالب هذه التطبيقات المستخدمين بتنزيل مثبت لمرة واحدة ، ولكن عند التنفيذ ، يقومون بتثبيت برامج ضارة على جهاز المستخدم.
تريدرتريتور
TraderTraitor هي مجموعة القراصنة الكورية الشمالية الأكثر تطورا التي تستهدف صناعة العملات المشفرة وقد تم ربطها بالهجمات على منصات مثل Axie Infinity و Rain.com. يستهدف TraderTraitor بشكل حصري تقريبا البورصات والشركات ذات الاحتياطيات الكبيرة ولا يستخدم نقاط الضعف في يوم الصفر. بدلا من ذلك ، تستخدم تقنيات تصيد رمح متطورة للغاية لتعريض ضحاياها للخطر. في خرق Axie Infinity ، اتصل TraderTraitor بمهندس كبير عبر LinkedIn ونجح في إقناعهم بإجراء سلسلة من المقابلات ، وفي النهاية أرسل "عرض عمل" سلم حمولة البرامج الضارة. في هجوم WazirX ، قام عملاء TraderTraitor باختراق مكون مجهول الهوية في خط أنابيب توقيع المعاملات. ثم استنزفوا المحفظة الساخنة للبورصة عن طريق إيداع الأموال وسحبها بشكل متكرر ، مما دفع المهندسين إلى إعادة التوازن من المحفظة الباردة. عندما حاول مهندسو WazirX التوقيع على معاملة لتحويل الأموال ، تم خداعهم للسماح بمعاملة سلمت السيطرة على المحفظة الباردة إلى TraderTraitor. هذا مشابه جدا لهجوم فبراير 2025 على Bybit ، حيث قام TraderTraitor أولا باختراق البنية التحتية ل Safe{Wallet} من خلال الهندسة الاجتماعية ، ثم نشر JavaScript الضار في الواجهة الأمامية للمحفظة الآمنة المستخدمة خصيصا بواسطة محفظة Bybit الباردة. عندما حاولت Bybit إعادة توازن محفظتها ، تم تشغيل الرمز الضار ، مما تسبب في قيام مهندسي Bybit بالتوقيع عن غير قصد على معاملة نقلت التحكم في المحفظة الباردة إلى TraderTraitor.
البقاء آمنا
أظهرت كوريا الشمالية القدرة على نشر الثغرات اليومية ضد الخصوم، ولكن حتى الآن، ليست هناك حوادث مسجلة أو معروفة عن استخدام الثغرات اليومية ضد صناعة العملات المشفرة. لذلك، ينطبق النصيحة الأمنية القياسية تقريبًا على جميع التهديدات التي تشكلها الهاكرز الكوريون الشماليون.
بالنسبة للأفراد، الحس السليم واليقظة ضد الهندسة الاجتماعية أمران أساسيان. على سبيل المثال، إذا ادعى شخص ما أن لديه معلومات سرية للغاية ويقدم لمشاركتها معك، فتقدم بحذر. أو إذا وضع شخص ما ضغطا زمنيا وحثك على تحميل وتشغيل البرمجيات، فكن متأكدا مما إذا كانوا يحاولون منعك من التفكير بشكل عقلاني.
بالنسبة للمؤسسات، ضع في اعتبارك مبدأ الامتياز الأدنى في كل مكان ممكن. حدد عدد الأشخاص الذين لديهم وصول إلى الأنظمة الحساسة، وتأكد من أنهم يستخدمون مديري كلمات المرور والمصادقة ثنائية العامل (2FA). احتفظ بأجهزة العمل والشخصية منفصلة، وقم بتثبيت أدوات إدارة الأجهزة المحمولة (MDM) وأدوات الكشف والاستجابة للاكتشاف (EDR) على أجهزة العمل للحفاظ على الأمان قبل الاختراق ورؤية ما بعد الاختراق.
للأسف، بالنسبة للتبادلات الكبيرة أو الأهداف ذات القيمة العالية الأخرى، يمكن لـ TraderTraitor أن يتسبب في مزيد من الضرر من المتوقع حتى دون استخدام الثغرات الصفرية. لذلك، يجب اتخاذ احتياطات إضافية للقضاء على نقاط الفشل الفردية - بحيث لا يؤدي الاختراق الفردي إلى خسارة مالية كاملة.
على الرغم من ذلك، حتى إذا فشل كل شيء، هناك أمل. لدى مكتب التحقيقات الفدرالي فريق مكرس لتتبع ومنع التسللات الكورية الشمالية وقد قام بإبلاغ الضحايا بنشاط لسنوات. كنت سعيدًا مؤخرًا لمساعدة هذا الفريق في التواصل مع الأهداف المحتملة في كوريا الشمالية. لذا، للتحضير لأسوأ الظروف، تأكد من وجود معلومات الاتصال العامة المتاحة - أو الحفاظ على علاقات قوية عبر النظام البيئي (على سبيل المثال، SEAL 911) - بحيث يمكن للتنبيهات الحرجة أن تصل إليك في أسرع وقت ممكن عبر الرسم البياني الاجتماعي.
إخلاء المسؤولية:
تم نقل هذه المقالة من [ ForesightNews]. إعادة توجيه العنوان الأصلي 'باراديغم: كشف تهديد مجموعة الهاكر الكورية الشمالية لازاروس جروب'. جميع حقوق النشر تنتمي إلى الكاتب الأصلي [samczsun، شريك بحث في Paradigm]. إذا كانت هناك أي اعتراضات على هذا النشر، يرجى الاتصال بالبوابة تعلمالفريق، وسوف يتعاملون معه بسرعة وفقا للإجراءات ذات الصلة.
تنويه: الآراء والآراء التي تم التعبير عنها في هذه المقالة تمثل وجهات نظر الكاتب فقط ولا تشكل أي نصيحة استثمارية.
تتم الترجمات للمقال إلى لغات أخرى من قبل فريق Gate Learn. دون ذكرGate.io, من الممنوع نسخ أو توزيع أو ارتكاب الانتحال للنسخ المترجمة.
Artículos relacionados
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain
ما هي كوساما؟ كل ما تريد معرفته عن KSM
النموذج: الكشف عن مجموعة القراصنة الكورية الشمالية لازاروس
هيكل تنظيمي
مجموعة لازاروس
التفريعات للعشاق والتهديدات المتطورة
عمال تكنولوجيا المعلومات الكوريين الشماليين
AppleJeus
كلمة مرور خطرة
TraderTraitor
البقاء في مأمن
إعادة توجيه العنوان الأصلي 'باراديغم: الكشف عن تهديد مجموعة القراصنة الكوريين الشماليين لازاروس غروب'
نقاش حول مجموعة لازاروس - الجاني وراء اختراق بايبت - من وجهة نظر الهيكل التنظيمي، وطرق الهجوم، واستراتيجيات الدفاع.
في صباح شهر فبراير، اشتعلت الأضواء في مجموعة الدردشة SEAL 911. لقد نظرنا بارتباك وتخبط بينما قام Bybit بنقل أكثر من مليار دولار من الرموز من محفظتهم الباردة إلى عنوان جديد تمامًا وبدأوا بسرعة في تصفية أكثر من 200 مليون دولار في LST. في غضون دقائق، من خلال التواصل مع فريق Bybit والتحليل المستقل (الذي يشمل التوقيع المتعدد وتنفيذ محفظة آمنة محققة مسبقًا، تم استبدالها الآن بعقد جديد مطروح وغير محقق)، أكدنا أن هذا لم يكن صيانة روتينية. شخص ما قد شن للتو هجومًا من أكبر الاختراقات في تاريخ العملات المشفرة - وكنا نجلس في المقدمة.
بينما جزء من الفريق (جنبًا إلى جنب مع المجتمع الاستقصائي الأوسع) بدأ تتبع الأموال وإعلام بورصات الشريك، حاول آخرون معرفة ما حدث بالضبط وما إذا كانت هناك مخاطر إضافية للأموال. لحسن الحظ، كان تحديد الجاني سهلاً. خلال السنوات القليلة الماضية، كان هناك تهديد واحد معروف فقط قد سرق مليارات من بورصات العملات المشفرة بنجاح: كوريا الشمالية، المعروفة أيضًا باسم كوريا الشمالية.
ومع ذلك ، أبعد من ذلك ، لم يكن لدينا الكثير لنستمر فيه. نظرا للطبيعة الماكرة ومهارات التعتيم الاستثنائية للقراصنة الكوريين الشماليين ، كان من الصعب للغاية تحديد السبب الجذري للاختراق - ناهيك عن الفريق المحدد داخل كوريا الشمالية المسؤول. كل ما كان لدينا هو معلومات استخباراتية موجودة تشير إلى أن مشغلي كوريا الديمقراطية غالبا ما يعتمدون على تكتيكات الهندسة الاجتماعية للتسلل إلى بورصات العملات المشفرة. بناء على ذلك ، افترضنا أنهم قاموا باختراق الموقعين متعددي ال Sig من Bybit ونشروا برامج ضارة للتدخل في عملية التوقيع.
كما تبين، فإن تلك الافتراضات كانت خاطئة تماماً. وبعد أيام قليلة، اكتشفنا أن كوريا الشمالية قد اخترقت بنية تحتية لمحفظة Safe Wallet نفسها ونشرت حملة زائدة خبيثة مخصصة تستهدف Bybit. كان تعقيد هذا الهجوم فوق أي شيء توقعه أي شخص أو أعد له - مما يشكل تحدياً جدياً للعديد من النماذج الأمنية الحالية في السوق.
هاكر هاكر الكوري الشمالي يمثل تهديدا متزايدا لصناعتنا. لا يمكننا هزيمة عدو لا نفهمه. على الرغم من وجود العديد من الحوادث الموثقة والمقالات حول العمليات السيبرانية الكورية الشمالية، فمن الصعب تجميعها جميعًا. آمل أن يساعد هذا النظرة العامة في تقديم صورة أوضح عن كيفية عمل كوريا الشمالية، واستراتيجياتهم وإجراءاتهم، وفي النهاية يساعدنا في تنفيذ التدابير الصحيحة للتخفيف.
هيكل تنظيمي
أحد أكبر الافتراضات الخاطئة التي يجب معالجتها هو كيفية تصنيف وتسمية الأنشطة السيبرانية الواسعة لكوريا الشمالية. بينما يُعتبر استخدام مصطلح "مجموعة لازاروس" على نطاق واسع كوسمة تجمعية مقبولًا، إلا أن توضيحًا أكثر دقة يكون مفيدًا عند مناقشة التهديد السيبراني النظامي الذي تشكله كوريا الشمالية بالتفصيل.
أولاً، يساعد في فهم "الرسم البياني التنظيمي" الخاص بكوريا الشمالية. في القمة هو الحزب السياسي الحاكم، والوحيد، حزب عمال كوريا (WPK)، الذي يشرف على جميع المؤسسات الحكومية. ويشمل ذلك الجيش الشعبي الكوري (KPA) واللجنة المركزية. ضمن KPA يوجد قسم الأركان العامة (GSD)، حيث يوجد مكتب الاستطلاع العام (RGB). تحت اللجنة المركزية يوجد قسم صناعة الذخيرة (MID).
يتولى RGB مسؤولية ما يقرب من جميع العمليات السيبرانية في كوريا الشمالية، بما في ذلك جميع الأنشطة الملاحظة في صناعة العملات المشفرة. بالإضافة إلى مجموعة لازاروس السيئة السمعة، تشمل العوامل التهديدية الأخرى التي تنشأ من RGB أبلجيوس، APT38، DangerousPassword، و TraderTraitor. من ناحية أخرى، يشرف MID على برنامج الصواريخ النووية لكوريا الشمالية وهو المصدر الرئيسي لعمال النظام الأساسي في الخارج. تحدد مجتمع الاستخبارات هؤلاء العوامل التهديدية على أنها مقابلة معدين وواجمول.
مجموعة لازاروس
تعتبر مجموعة لازاروس منظمة قرصنة متطورة للغاية. يعتقد خبراء الأمان السيبراني أن بعض أكبر وأكثر الهجمات السيبرانية تدميرًا في التاريخ تم تنفيذها من قبل هذه المجموعة. في عام 2016، حددت Novetta مجموعة لازاروس أثناء تحليل اختراق شركة سوني بيكتشرز الترفيهية.
في عام 2014، كانت سوني تنتج فيلم الحركة والكوميديا The Interview، الذي كان يتضمن الحبكة المركزية التي تشتمل على إذلال واغتيال كيم جونغ أون. من الواضح أن هذا لم يكن مرحبًا به من قبل نظام كوريا الشمالية، الذي رد على ذلك من خلال اختراق شبكة سوني، وسرقة عدة تيرابايت من البيانات، وتسريب مئات الجيجابايت من المعلومات السرية أو الحساسة، وحذف الأصليين. كما صرح المدير التنفيذي آنذاك، مايكل لينتون: "الأشخاص الذين فعلوا هذا لم يقوموا فقط بسرقة كل شيء في المنزل - بل حرقوا المنزل." في النهاية، أنفقت سوني على الأقل 15 مليون دولار على التحقيق والتصحيح المتعلق بالهجوم، وقد يكون الضرر الفعلي أعلى حتى.
في عام 2016 ، تسللت مجموعة قراصنة ذات أوجه تشابه مذهلة مع مجموعة لازاروس إلى بنك بنغلاديش في محاولة لسرقة ما يقرب من مليار دولار. على مدار عام ، شن المتسللون هجمات الهندسة الاجتماعية على موظفي البنك ، وفي النهاية تمكنوا من الوصول عن بعد والانتقال أفقيا داخل الشبكة حتى وصلوا إلى الكمبيوتر الذي يتفاعل مع نظام SWIFT. من هناك ، انتظروا الفرصة المثالية: تحتفل بنغلاديش بعطلة نهاية الأسبوع يوم الخميس ، بينما يأخذ بنك الاحتياطي الفيدرالي في نيويورك عطلة يوم الجمعة. في ليلة الخميس ، بالتوقيت المحلي ، استخدم المهاجمون وصول SWIFT الخاص بهم لإرسال 36 طلب تحويل منفصل إلى بنك الاحتياطي الفيدرالي في نيويورك - في وقت مبكر من صباح يوم الجمعة بالتوقيت المحلي. على مدار ال 24 ساعة التالية ، أحال بنك الاحتياطي الفيدرالي التحويلات إلى مؤسسة ريزال المصرفية التجارية (RCBC) في الفلبين ، والتي بدأت في معالجتها. بحلول الوقت الذي أعيد فيه فتح بنك بنغلاديش ، اكتشف الخرق وحاول الاتصال ب RCBC لوقف المعاملات ، فقط ليجد أن البنك قد أغلق في عطلة رأس السنة القمرية الجديدة.
ثم في عام 2017، أحدث هجوم واسع النطاق برنامج الفدية WannaCry 2.0 دمارًا في صناعات مختلفة عبر العالم، مع جزء من التسبب فيه للمجموعة المعروفة باسم لازاروس. يُقدر أنه تسبب في خسائر بالمليارات، استغل WannaCry ثغرة أمنية zero-day في نظام التشغيل Microsoft Windows والتي طورتها الأساسيات القومية الأمريكية. قام بتشفير الأجهزة المحلية ونشر نفسه عبر الأجهزة المتاحة، مصيبًا في النهاية مئات الآلاف من الأنظمة على مستوى العالم. لحسن الحظ، اكتشف الباحث الأمني ماركوس هاتشينز وحدث مفتاح إيقاف ضمن ثمان ساعات فقط، مما حد من مدى الضرر.
طوال تاريخها، أظهرت مجموعة لازاروس قدرة فنية ملحوظة وفاعلية تشغيلية. أحد أهدافهم الرئيسية هو توليد عائد لنظام كوريا الشمالية. لم يكن إلا وقتًا قبل أن يولوا اهتمامهم لصناعة العملات المشفرة.
فروع لازاروس وتهديدات متطورة
بمرور الوقت ، عندما أصبحت مجموعة لازاروس مصطلحا شاملا تستخدمه وسائل الإعلام بشكل شائع لوصف الأنشطة السيبرانية لكوريا الشمالية ، بدأت صناعة الأمن السيبراني في تطوير أسماء أكثر دقة لمجموعة لازاروس وعمليات محددة مرتبطة بكوريا الشمالية. APT38 هو أحد الأمثلة على ذلك. حوالي عام 2016 ، انفصلت عن مجموعة لازاروس للتركيز بشكل خاص على الجرائم المالية - التي استهدفت في البداية البنوك (مثل بنك بنغلاديش) ، وبعد ذلك ، العملة المشفرة. في عام 2018 ، تم اكتشاف تهديد جديد يعرف باسم AppleJeus يوزع برامج ضارة تستهدف مستخدمي العملات المشفرة. وفي عام 2018 أيضا، عندما أعلن مكتب مراقبة الأصول الأجنبية لأول مرة عن فرض عقوبات على شركتين وهميتين يستخدمهما الكوريون الشماليون، كان من الواضح بالفعل أن عملاء كوريين شماليين ينتحلون صفة عمال تكنولوجيا المعلومات قد تسللوا إلى صناعة التكنولوجيا.
عمال تكنولوجيا المعلومات الكوريين الشماليين
على الرغم من أن أقرب ذكر مسجل لعمال تكنولوجيا المعلومات الكوريين الشماليين يعود إلى عقوبات OFAC لعام 2018، فإن تقرير الوحدة 42 لعام 2023 قدم حسابًا أكثر تفصيلًا وحدد ممثلي تهديدين متميزين: مقابلة معدي وواجيمول.
مقابلة معديه معروفة بتقمص موظفي التوظيف من الشركات المعروفة لإغراء المطورين في عمليات مقابلات وهمية. يُطلب من المرشحين المحتملين استنساخ مستودع لإصلاح الأخطاء المحلية - الذي يُصوّر كجزء من تحدي البرمجة - ولكن المستودع يحتوي على باب خلفي. يمنح تنفيذ الكود المهاجمين السيطرة على الجهاز المتأثر. هذا النشاط مستمر، وتم تسجيل أحدث حادث في 11 أغسطس 2024.
من ناحية أخرى، لا يجذب Wagemole الضحايا - بل يتم توظيفهم من قبل شركات حقيقية، يندمجون كمهندسين عاديين، على الرغم من كونهم في كثير من الأحيان أقل إنتاجية. ومع ذلك، هناك حالات موثقة لعمال تقنية المعلومات يستخدمون وصولهم لأغراض خبيثة. في حادثة Munchables، استغل موظف مرتبط بالعمليات الكورية الشمالية الوصول الخاص إلى العقود الذكية وسرق جميع الأصول.
يتراوح مستوى التطور بين وكلاء واجيمول بشكل كبير. بعضهم يستخدم قوالب السيرة الذاتية العامة ويمتنع عن المكالمات الفيديو، بينما يقدم البعض الآخر سيرًا ذاتية مصممة خصيصًا، ويشارك في مقابلات فيديو مزيفة عميقة، ويقدم هويات مزورة مثل رخص القيادة وفواتير الخدمات العامة. في بعض الحالات، بقي الوكلاء داخل منظمات الضحايا لمدة تصل إلى عام قبل استغلال وصولهم لاختراق أنظمة أخرى و/أو سحب المبالغ نقدًا تمامًا.
AppleJeus
تركز AppleJeus في المقام الأول على توزيع البرامج الضارة ولديها مهارات في تنفيذ هجمات سلسلة توريد معقدة. في عام 2023، سمحت هجمة سلسلة التوريد 3CX بالمساعدة في إمكانية إصابة أكثر من 12 مليون مستخدم لبرنامج 3CX VoIP بالتهديد. تم اكتشاف لاحقًا أن 3CX نفسه تأثر بهجوم سلسلة التوريد على أحد مورديه الأماميين - Trading Technologies 13.
في صناعة العملات المشفرة، انتشر في البداية AppleJeus برمجيات ضارة متنكرة على أنها برامج قانونية، مثل منصات التداول أو محافظ العملات المشفرة. ومع مرور الوقت، تطورت تكتيكاتهم. في أكتوبر 2024، تم اختراق راديانت كابيتال من قبل مهاجم تنصل عن مقاول موثوق تم تقديم برمجيات ضارة عبر تليجرام. نسبت شركة Mandiant هذا الهجوم إلى AppleJeus.
كلمة مرور خطرة
كلمة المرور الخطرة مسؤولة عن الهجمات الهندسية الاجتماعية منخفضة التعقيد التي تستهدف صناعة العملات المشفرة. بالفعل في عام 2019، وثق JPCERT/CC أن كلمة المرور الخطرة كانت ترسل رسائل بريد إلكتروني احتيالية تحتوي على مرفقات جذابة للمستخدمين لتنزيلها. في السنوات الأخيرة، قامت كلمة المرور الخطرة بانتحال شخصيات معروفة في مجال العملات المشفرة لإرسال رسائل بريد إلكتروني احتيالية بعناوين مثل "مخاطر هائلة في العملات المستقرة والأصول الرقمية".
اليوم ، تواصل Dangerous Password إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي ولكنها وسعت أنشطتها لتشمل منصات أخرى. على سبيل المثال ، أبلغت Radiant Capital عن تلقي رسالة تصيد عبر Telegram من شخص يتظاهر بأنه باحث أمني. تضمنت الرسالة ملفا باسم "Penpie_Hacking_Analysis_Report.zip". بالإضافة إلى ذلك ، أبلغ المستخدمون عن الاتصال بهم من قبل أفراد ينتحلون صفة صحفيين أو مستثمرين يطلبون جدولة مكالمة باستخدام تطبيقات مؤتمرات الفيديو الغامضة. مثل Zoom ، تطالب هذه التطبيقات المستخدمين بتنزيل مثبت لمرة واحدة ، ولكن عند التنفيذ ، يقومون بتثبيت برامج ضارة على جهاز المستخدم.
تريدرتريتور
TraderTraitor هي مجموعة القراصنة الكورية الشمالية الأكثر تطورا التي تستهدف صناعة العملات المشفرة وقد تم ربطها بالهجمات على منصات مثل Axie Infinity و Rain.com. يستهدف TraderTraitor بشكل حصري تقريبا البورصات والشركات ذات الاحتياطيات الكبيرة ولا يستخدم نقاط الضعف في يوم الصفر. بدلا من ذلك ، تستخدم تقنيات تصيد رمح متطورة للغاية لتعريض ضحاياها للخطر. في خرق Axie Infinity ، اتصل TraderTraitor بمهندس كبير عبر LinkedIn ونجح في إقناعهم بإجراء سلسلة من المقابلات ، وفي النهاية أرسل "عرض عمل" سلم حمولة البرامج الضارة. في هجوم WazirX ، قام عملاء TraderTraitor باختراق مكون مجهول الهوية في خط أنابيب توقيع المعاملات. ثم استنزفوا المحفظة الساخنة للبورصة عن طريق إيداع الأموال وسحبها بشكل متكرر ، مما دفع المهندسين إلى إعادة التوازن من المحفظة الباردة. عندما حاول مهندسو WazirX التوقيع على معاملة لتحويل الأموال ، تم خداعهم للسماح بمعاملة سلمت السيطرة على المحفظة الباردة إلى TraderTraitor. هذا مشابه جدا لهجوم فبراير 2025 على Bybit ، حيث قام TraderTraitor أولا باختراق البنية التحتية ل Safe{Wallet} من خلال الهندسة الاجتماعية ، ثم نشر JavaScript الضار في الواجهة الأمامية للمحفظة الآمنة المستخدمة خصيصا بواسطة محفظة Bybit الباردة. عندما حاولت Bybit إعادة توازن محفظتها ، تم تشغيل الرمز الضار ، مما تسبب في قيام مهندسي Bybit بالتوقيع عن غير قصد على معاملة نقلت التحكم في المحفظة الباردة إلى TraderTraitor.
البقاء آمنا
أظهرت كوريا الشمالية القدرة على نشر الثغرات اليومية ضد الخصوم، ولكن حتى الآن، ليست هناك حوادث مسجلة أو معروفة عن استخدام الثغرات اليومية ضد صناعة العملات المشفرة. لذلك، ينطبق النصيحة الأمنية القياسية تقريبًا على جميع التهديدات التي تشكلها الهاكرز الكوريون الشماليون.
بالنسبة للأفراد، الحس السليم واليقظة ضد الهندسة الاجتماعية أمران أساسيان. على سبيل المثال، إذا ادعى شخص ما أن لديه معلومات سرية للغاية ويقدم لمشاركتها معك، فتقدم بحذر. أو إذا وضع شخص ما ضغطا زمنيا وحثك على تحميل وتشغيل البرمجيات، فكن متأكدا مما إذا كانوا يحاولون منعك من التفكير بشكل عقلاني.
بالنسبة للمؤسسات، ضع في اعتبارك مبدأ الامتياز الأدنى في كل مكان ممكن. حدد عدد الأشخاص الذين لديهم وصول إلى الأنظمة الحساسة، وتأكد من أنهم يستخدمون مديري كلمات المرور والمصادقة ثنائية العامل (2FA). احتفظ بأجهزة العمل والشخصية منفصلة، وقم بتثبيت أدوات إدارة الأجهزة المحمولة (MDM) وأدوات الكشف والاستجابة للاكتشاف (EDR) على أجهزة العمل للحفاظ على الأمان قبل الاختراق ورؤية ما بعد الاختراق.
للأسف، بالنسبة للتبادلات الكبيرة أو الأهداف ذات القيمة العالية الأخرى، يمكن لـ TraderTraitor أن يتسبب في مزيد من الضرر من المتوقع حتى دون استخدام الثغرات الصفرية. لذلك، يجب اتخاذ احتياطات إضافية للقضاء على نقاط الفشل الفردية - بحيث لا يؤدي الاختراق الفردي إلى خسارة مالية كاملة.
على الرغم من ذلك، حتى إذا فشل كل شيء، هناك أمل. لدى مكتب التحقيقات الفدرالي فريق مكرس لتتبع ومنع التسللات الكورية الشمالية وقد قام بإبلاغ الضحايا بنشاط لسنوات. كنت سعيدًا مؤخرًا لمساعدة هذا الفريق في التواصل مع الأهداف المحتملة في كوريا الشمالية. لذا، للتحضير لأسوأ الظروف، تأكد من وجود معلومات الاتصال العامة المتاحة - أو الحفاظ على علاقات قوية عبر النظام البيئي (على سبيل المثال، SEAL 911) - بحيث يمكن للتنبيهات الحرجة أن تصل إليك في أسرع وقت ممكن عبر الرسم البياني الاجتماعي.
إخلاء المسؤولية:
تم نقل هذه المقالة من [ ForesightNews]. إعادة توجيه العنوان الأصلي 'باراديغم: كشف تهديد مجموعة الهاكر الكورية الشمالية لازاروس جروب'. جميع حقوق النشر تنتمي إلى الكاتب الأصلي [samczsun، شريك بحث في Paradigm]. إذا كانت هناك أي اعتراضات على هذا النشر، يرجى الاتصال بالبوابة تعلمالفريق، وسوف يتعاملون معه بسرعة وفقا للإجراءات ذات الصلة.
تنويه: الآراء والآراء التي تم التعبير عنها في هذه المقالة تمثل وجهات نظر الكاتب فقط ولا تشكل أي نصيحة استثمارية.
تتم الترجمات للمقال إلى لغات أخرى من قبل فريق Gate Learn. دون ذكرGate.io, من الممنوع نسخ أو توزيع أو ارتكاب الانتحال للنسخ المترجمة.
Artículos relacionados
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain