كوريا الشمالية: مجموعة تهديدات قديمة تنقسم لثلاث عمليات منفصلة

كشف تقرير حديث صادر عن شركة “كراود سترايك” لأمن المعلومات، أن مجموعة تهديدات سيبرانية مدعومة من كوريا الشمالية، تعمل منذ عام 2009، قد انقسمت إلى ثلاث مجموعات متميزة، لكل منها برمجيات خبيثة وأهداف متخصصة. يأتي هذا التطور ليضيف طبقة جديدة من التعقيد إلى مشهد التهديدات السيبرانية العالمية.

أطلقت “كراود سترايك” على المجموعة الأم اسم “لابينث تشوليما”، حيث لاحظت نمط انقسام مشابه في مجموعات سابقة. وقد أفرزت “لابينث تشوليما” مجموعتين إضافيتين هما “جولدن تشوليما” و”بريسر تشوليما”. تعمل هذه المجموعات المنبثقة منذ عام 2020، مما يسمح للمجموعة الأم بالتركيز بشكل أضيق على عمليات التجسس، مستهدفة جهات في قطاعات التصنيع والخدمات اللوجستية والدفاع والطيران.

انقسام مجموعات تهديدات كوريا الشمالية وتخصصها

تركز مجموعتا “جولدن تشوليما” و”بريسر تشوليما” بشكل أساسي على سرقة العملات المشفرة، والتي تتدفق عائداتها إلى النظام الكوري الشمالي، حيث يتم استخدام بعض هذه الأرباح لتمويل عملياته السيبرانية. وتعد “بريسر تشوليما” مسؤولة عن تحقيق رقم قياسي في سرقة العملات المشفرة بلغت قيمتها 1.46 مليار دولار العام الماضي. وتستهدف هذه المجموعة فرص تحقيق عائدات عالية، وقد تطورت لتصبح واحدة من أكثر المجموعات تهديداً من الناحية التقنية بالنسبة لكوريا الشمالية، وفقاً لـ “كراود سترايك”.

تشترك هذه المجموعات، التي لها صلة بمجموعة “لازاروس” الأوسع نطاقاً، في بعض الأدوات والبنية التحتية، مما يشير إلى تنسيق مركزي. ومع ذلك، فقد طورت أيضاً قدرات أكثر تخصصاً لتحقيق أهدافها المحددة، حسبما أوضح الباحثون.

مع استمرار مجموعات التهديد المدعومة من كوريا الشمالية في التفرع، فإن الدولة المعزولة تقوم بتطوير قدرات أكبر وتوسيع نطاق وصولها وتأثيرها، حسبما صرح آدم مايرز، رئيس عمليات مكافحة الخصوم في “كراود سترايك”.

وأضاف مايرز: “ما نراه في المدى البعيد يتوافق الآن مع ما رأيناه من منظور بيروقراطي في المدى القريب”.

وتابع: “مع مرور الوقت، ومع نجاح مهمتهم، نمت البيروقراطية واتسع نطاق المهمة، وبطبيعة الحال نمت المنظمة. لقد كانوا يديرون اقتصاد مقاومة لسنوات عديدة، وتمنحهم العمليات السيبرانية القدرة على القيام بذلك بشكل ينكر وبمسافة”.

تتتبع “كراود سترايك” حالياً ثماني مجموعات تهديد منفصلة مدعومة من كوريا الشمالية، مع إضافة “جولدن تشوليما” و”بريسر تشوليما”. وتتوقع الشركة أن تقوم المجموعات التي تركز على سرقة العملات المشفرة بتوسيع نطاق عملياتها مع تسبب العقوبات الدولية في إعاقة الاقتصاد الكوري الشمالي.

استهدافات “لابينث تشوليما” المتخصصة

استهدفت “لابينث تشوليما” مؤخراً شركات طيران ودفاع ولوجستيات وشحن أوروبية، بالإضافة إلى مقدمي خدمات البنية التحتية الحيوية في الولايات المتحدة، بما في ذلك تلك العاملة في مجال الطاقة المائية. وطورت هذه المجموعة، التي تتعقبها شركات أخرى تحت اسم “دايموند سليت” و”عملية الوظيفة الحلم”، مهارة في الهندسة الاجتماعية المستندة إلى موضوعات التوظيف، حسبما أشار الباحثون.

ونقل التقرير عن مايرز قوله: “كوريا الشمالية ربما تكون من بين أفضل الجهات الفاعلة هناك. الكثير من الناس لا يعطونها الفضل الكافي لذلك”.

يهدف بحث “كراود سترايك” حول المجموعات المنبثقة عن “لابينث تشوليما” إلى مساعدة المؤسسات على الدفاع ضد هذه التهديدات المتميزة، من خلال توفير مؤشرات الاختراق وعينات البرامج الضارة التي لوحظت في هجمات مختلفة.

واختتم مايرز بتوضيح: “تحتاج إلى معرفة من هي التهديدات التي تواجه صناعتك وموقعك الجغرافي المحدد، لأنه لا يمكنك الدفاع ضد جميع التهديدات طوال الوقت. لا يمكنك محاولة حل كل شيء دفعة واحدة”.