عندما تلقى “دانيال ديبتريس”، محلل الشؤون الخارجية المقيم في الولايات المتحدة، رسالة بريد إلكتروني في أكتوبر الماضي من مدير مركز أبحاث في “38 نورث” الذي يكلف بمقال، بدا أنه عمل كالمعتاد، ولكن الأمر لم يكن كذلك.
كان المرسل في الواقع جاسوسًا كوريًا شماليًا، يسعى للحصول على معلومات، وفقًا لما قاله ثلاثة باحثين في مجال الأمن السيبراني.
بدلاً من إصابة جهاز الكمبيوتر الخاص به وسرقة البيانات الحساسة، كما يفعل المتسللون عادةً ، بدا أن المرسل يحاول استنباط أفكاره حول قضايا الأمن في كوريا الشمالية من خلال التظاهر بأنه “جيني تاون” مدير مركز “38 نورث”.
وقال “ديبتريس” في تصريحات نقلتها “رويترز”: “بمجرد أن ذكر اسم “تاون” “أدركت أن الأمر لم يكن شرعيًا وبمجرد أن اتصلت للمتابعة والتحقق من الأمر اكتشفت أنه في الواقع لم يتم تقديم أي طلب وأن هذا الشخص متسلل واكتشفت بسرعة أن هذه كانت حملة واسعة النطاق.”
البريد الإلكتروني هو جزء من حملة جديدة لم يتم الإبلاغ عنها من قبل من قبل مجموعة قراصنة كوريا الشمالية، وفقًا لخبراء الأمن السيبراني وخمسة أفراد آخرين مستهدفين أيضًا ورسائل بريد إلكتروني أكدت “رويترز” أنها اطلعت عليها.
مجموعة Thallium الأكثر شهرة
مجموعة القراصنة، الذين أطلق عليها الباحثون اسم Thallium أو Kimsuky ، من بين أسماء أخرى ، استخدمت منذ فترة طويلة رسائل البريد الإلكتروني “spear-phishing” التي تخدع الأهداف لإعطاء كلمات المرور أو النقر فوق المرفقات أو الروابط التي تحمل برامج ضارة.
يبدو أن القراصنة يطلبون من الباحثين أو الخبراء الآخرين تقديم الآراء أو كتابة التقارير، إذ قال “جيمس إليوت” من مركز Microsoft Threat Intelligence Center (MSTIC) ، “لقد حقق المهاجمون الكثير من النجاح مع هذه الطريقة البسيطة جدًا”، مضيفًا أن التكتيك الجديد ظهر لأول مرة في يناير الماضي.
و قال باحثو الأمن السيبراني إن الخبراء والمحللين المستهدفين في الحملة مؤثرون في تشكيل الرأي العام الدولي وسياسة الحكومات الأجنبية تجاه كوريا الشمالية.
ذكر تقرير صدر عام 2020 عن وكالات الأمن السيبراني التابعة للحكومة الأمريكية أن شركة Thallium تعمل منذ عام 2012 و “على الأرجح مكلفة من قبل النظام الكوري الشمالي بمهمة جمع معلومات استخباراتية عالمية.
واستهدفت شركة Thallium تاريخيًا موظفي الحكومة ومراكز الفكر والأكاديميين ومنظمات حقوق الإنسان ، وفقًا لمايكروسوفت.
وقال إليوت: “يحصل المهاجمون على المعلومات مباشرة من مصدرها، إذا صح التعبير، ولا يتعين عليهم الجلوس هناك وإجراء تفسيرات لأنهم يحصلون عليها مباشرة من الخبير.
تكتيكات جديدة
يُعرف المتسللون الكوريون الشماليون بشن هجمات بملايين الدولارات، إذ سبق واستهدفوا Sony Pictures بسبب فيلم يُنظر إليه على أنه إهانة لقائدها، كما سبق وقاموا بسرقة البيانات من شركات الأدوية والدفاع ، والحكومات الأجنبية ، وغيرها.
من جانبها لم ترد سفارة كوريا الشمالية في لندن على بعض الأصوات المطالبة بالتعليق على الأمر، لكنها نفت تورطها في أي جرائم تتعلق بالإنترنت.
وفي هذا السياق قال “ساهر نعمان”، محلل استخبارات التهديدات الرئيسي في شركة BAE Systems Applied Intelligence ، إنه في هجمات أخرى، أمضى قراصنة Thallium وغيرهم من المتسللين أسابيع أو أشهر في تطوير الثقة مع الهدف قبل إرسال البرامج الضارة له.
وأوضح “إليوت” أن هذا التكتيك يمكن أن يكون أسرع من اختراق حساب شخص ما والخوض في رسائل البريد الإلكتروني الخاصة به، وتجاوز برامج الأمان التقنية التقليدية التي من شأنها مسح أية رسائل تحتوي على عناصر ضارة وتحديدها، وتسمح للجواسيس بالوصول المباشر إلى تفكير الخبراء.
وتابع “إيلوت”: “بالنسبة لنا كمدافعين، من الصعب حقًا إيقاف هذه الرسائل الإلكترونية، وفي معظم الحالات يعود الأمر إلى قدرة المستلم على اكتشافها.”
وأوضح “ديبتريس”، الذي ينشر مقالاته في العديد من الصحف، إن رسائل البريد الإلكتروني التي تلقاها كانت مكتوبة كما لو كان الباحث يطلب تقديم ورقة أو تعليقات على مسودة، مضيفًا :”لقد كانوا متطورين للغاية، مع إرفاق شعارات مركز أبحاث بالمراسلات لجعلها تبدو كما لو أن التحقيق شرعي”.
بعد حوالي ثلاثة أسابيع من تلقي رسالة بريد إلكتروني مزيفة من “38 نورث”، قام متسلل منفصل بانتحال شخصيته، وأرسل بريدًا إلكترونيًا لأشخاص آخرين للنظر في المسودة، على حد قول ديبتريس.
هذا البريد الإلكتروني، الذي شاركه “ديبتريس”، مع “رويترز” يعرض 300 دولار لمراجعة مخطوطة حول البرنامج النووي لكوريا الشمالية ويطلب توصيات لمراجعين آخرين محتملين.
جمع المعلومات
يعتبر انتحال الهوية طريقة شائعة للجواسيس في جميع أنحاء العالم، ولكن مع تعمق عزلة كوريا الشمالية في ظل العقوبات والوباء، تعتقد وكالات الاستخبارات الغربية أن “بيونغ يانغ” أصبحت تعتمد بشكل خاص على الحملات الإلكترونية، حسبما قال مصدر أمني في “سيول” لـ”رويترز”.
وشهدت بعض الحالات، طلب المهاجمون أوراقًا، وبالفعل قدم المحللون تقارير كاملة أو مراجعات للمخطوطات قبل أن يدركوا أنهم مخترقون.
وقال “ديبتريس” الذي اكتشف إحدى محاولات التجسس إن المتسللين سألوه عن القضايا التي كان يعمل عليها بالفعل، بما في ذلك رد اليابان على الأنشطة العسكرية لكوريا الشمالية.
وفي رسالة بريد إلكتروني أخرى، أرسلها المتسلل على أنها مرسلة من أخبار كيودو اليابانية، سأل أحد الباحثين في “38 نورث” عن كيف اعتقدوا أن الحرب في أوكرانيا قد أثرت في تفكير كوريا الشمالية، وطرح أسئلة حول السياسات الأمريكية والصينية والروسية.
وقال ديبتريس: “لا يسع المرء إلا أن يتخيل أن الكوريين الشماليين يحاولون الحصول على آراء صريحة من مؤسسات الفكر والرأي من أجل فهم أفضل لسياسة الولايات المتحدة بشأن الشمال وإلى أين قد تتجه”.
لهذه الأسباب.. كرة القدم لا تحظى بالشعبية في الولايات المتحدة
60 مليون ساعة للترفيه.. كيف أفاد العمل عن بُعد الموظفين في الولايات المتحدة؟