يبدو أن الأزمة التي تعاني منها كوريا الشمالية جراء العقوبات الدولية القاسية عليها، والعزلة التي تعيشها بسبب تجاربها النووية، نتج عنها اللجوء لمحاولات القرصنة على الإنترنت، علّها تصبح دخلاً جديداً، عن طريق مهاجمة حسابات المصارف على مستوى العالم.
ووفق تقرير لصحيفة نيويورك تايمز الأميركية، فقد قام قراصنةٌ على علاقةٍ بكوريا الشمالية بمحاولة اختراق البنوك البولندية أواخر العام الماضي 2016، وأثناء هذه المحاولة، تركوا خيطاً من المعلومات عن نواياهم الواضحة بسرقة أموال أكثر من 100 منظمة مالية حول العالم، بحسب تصريحات باحثين أمنيين.
وقدم هؤلاء الباحثون الأمنيون قائمةً بعناوين بروتوكول الإنترنت، حللتها صحيفة "نيويورك تايمز"، وأظهرت أنَّ أهداف القراصنة كانت تشمل البنك الدولي، والبنك المركزي الأوروبي، وعدداً من الشركات الأميركية الكبرى مثل "بنك أوف أميركا".
اختراق البنوك البولندية
وبينما تلّقت بعض البنوك البولندية الطعم الذي وضعه القراصنة، إلا أنه تم كشف المخطط بسرعةٍ كبيرة، ولا يوجد دليلٌ على سرقة أي أموال من الأهداف المحددة.
لكنَّ الباحثين الأمنيين قالوا إنَّ قائمة الأهداف، التي عُثِرَ عليها في شيفرة الهجوم على أكثر من 20 بنكاً بولندياً، تُظهِر مدى تطور قدرات القراصنة الكوريين الشماليين. وأصبحت أهدافهم الآن مالية، علاوةً على جهودهم لنشر الدعاية، وسرقة البيانات، وتعطيل المواقع الحكومية والإخبارية في الدول التي تعتبرها كوريا الشمالية عدوةً لها.
وتُعتبر قائمة الأهداف، التي لم يُعلَن عنها من قبل، جزءاً من قائمة الأدلة المتزايدة التي تُظهر محاولات كوريا الشمالية، الدولة المعزولة عن الاقتصاد العالمي بشكلٍ كبير، والتي تزيد من استخدام قدراتها في شن الهجمات الإلكترونية من أجل جمع الأموال، وتقوم بمحاولات تزداد جرأةً مع الوقت لتحقيق ذلك.
هجوم سابق
ويعتقد محققون أميركيون أن كوريا الشمالية قد تكون وراء سرقة 81 مليون دولار من حساب يملكه البنك المركزي لبنغلاديش لدى الاحتياطي الفيدرالي في نيويورك، حسب تقرير لصحيفة "وول ستريت جورنال" الأميركية.
وذكرت الصحيفة في 23 مارس/آذار 2017، نقلاً عن مصادر قريبة من التحقيق إن القضاء الأميركي يستعد لاتهام وسطاء صينيين ساعدوا كوريا الشمالية في سرقة هذا المبلغ عبر قرصنة معلوماتية في فبراير 2016.
ونجح قراصنة معلوماتية استخدموا نظام "سويفت" للتحويلات المصرفية الدولية في تحويل 81 مليون دولار من حساب للبنك المركزي لبنغلادش في فرع نيويورك للبنك المركزي الأميركي.
وأغرق القراصنة الاحتياطي الفدرالي في نيويورك بعشرات من طلبات التحويل وكانوا يحاولون تحويل 850 مليون دولار إضافية، لكن المصرف عطل الصفقات الأخرى.
وتم تحويل المبالغ إلى حساب في الفيليبين ثم اختفت وتم غسل جزء منها في الكازينوهات.
وفي مايو/أيار 2016، أشارت دراسة لشركة الأمن المعلوماتي "سيمانتيك" عن علاقة ممكنة بين هذه القضية وكوريا الشمالية.
والبرنامج الذي استخدمه القراصنة لديه صفات مشتركة مع البرنامج الذي استخدم في الهجوم الواسع لمجموعة "سوني بيكتشرز انترتينمنت" في نهاية 2014، كما أكدت هذه الدراسة.
وخلال عملية القرصنة هذه التي تقول السلطات الأميركية إن كوريا الشمالية تقف وراءها، سرقت رسائل إلكترونية ومعلومات شخصية لآلاف الموظفين في سوني، وكان منفذو هذا الهجوم يطالبون بأن تتخلى "سوني بيكتشرز" عن بث فيلم يسخر من الزعيم الكوري الشمالي يحمل عنوان "المقابلة القاتلة".
شبكة ضخمة
ووفقاً لتقديرات مسؤولي كوريا الجنوبية، فإنَّ شبكة قراصنة كوريا الشمالية ضخمةٌ للغاية، إذ تضم مجموعةً من 1700 من القراصنة، يُعاونهم أكثر من 5000 مدرب ومشرف، وغيرهم من المناصب المساعدة، حسب صحيفة نيويورك تايمز .
ونتيجة سوء البنية التحتية للبلاد، يعمل أغلب القراصنة خارج البلاد، في مناطق مثل الصين، وجنوب شرق آسيا، وأوروبا.
وكسائر الكوريين الشماليين العاملين بالخارج، تتم مراقبة القراصنة عن كثب بسبب الانتهاكات المحتملة المرتبطة بحكومة بلادهم.
ولم تتمكن شركة "سيمانتك" الأمنية من تتبع الهجوم البولندي وربطه بحكومة دولة معينة، لكن المسؤولين الأميركيين حمَّلوا كوريا الشمالية مسؤولية الهجوم على سوني، اعتماداً على معلوماتٍ استخباراتية مُستقاة من اختراقاتٍ أميركية لأنظمة الحاسب بكوريا الشمالية.
وقال إيريك شيان، الباحث بشركة سيمانتك التي قامت بدراسة الهجومين: "وجدنا عدة روابط بين الهجمات، وهو ما منحنا ثقةً كبيرة في أنَّ المجموعة نفسها هي المسؤولة عن هجوم بنغلاديش والهجوم البولندي".
وأضاف شيان أنَّ قائمة الأهداف التي كشفها الهجوم البولندي، والتي تشمل مؤسساتٍ مالية أميركية كُبرى، مثل بنك ستايت ستريت، وتراست، وبنك نيويورك ميلون، تدل على مدى طموحات كوريا الشمالية.
وأضاف: "مهاجمة الولايات المتحدة الأميركية هي أمرٌ مُختلفٌ كلياً عن مُهاجمة بنغلاديش".
ونفت كوريا الشمالية تورطها في الهجمات على شركة سوني وغيرها، واتهمت كوريا الجنوبية في الوقت نفسه بتعطيل مواقعها.
ويعيش سكان كوريا الشمالية في معزلٍ عن الإنترنت، باستثناء بعض المواقع المملوكة للحكومة والمملوءة بالدعاية.
31 دولة
ونقل تقرير لموقع فورشن 500 عن شركة سيمانتك قولها إن المجموعة التي قامت بالقرصنة تدعى "لازروس" وإنها كانت وراء حملة إلكترونية مؤخراً استهدفت منظمات في 31 دولة.
وتمتلك سيمانتك واحداً من أكبر فرق البحث عن البرامج الخبيثة في العالم وهم يقومون بتحليل التهديدات الطارئة في الفضاء الإلكتروني للدفاع عن مصالح الشركات والحكومات وغيرهم من المستهلكين الذين يستخدمون منتجاتهم الأمنية.
ويُمثِّل الهجوم البولندي مثالاً لمدى تطور أهداف الهجمات الإلكترونية التي تنفذها كوريا الشمالية، حسب نيويورك تايمز.
وبدأ الهجوم في شهر أكتوبر/تشرين الأول 2016، عندما قام القراصنة بزرع فيروس في موقع الهيئة المشرفة على تنظيم الخدمات المالية ببولندا، وانتظروا قيام البنوك بتحميله دون قصدٍ أثناء زيارتهم للموقع، حسب تقرير نيويورك تايمز.
واستخدم مرتكبو الجريمة ما يُسمى بهجوم "watering-hole"، لاختراق البنوك؛ وفي مثل هذه الحالة، كان موقع هيئة تنظيم الخدمات المالية هو المستهدف.
وعند قيام الزوار من قائمة الأهداف بزيارة الموقع، يتم إعادة توجيههم إلى برنامجٍ يحاول تحميل أحد البرامج الخبيثة. وطبقاً للمحققين، امتدت قائمة الأهداف إلى خارج بولندا، نظراً لنية المجموعة شن هجماتٍ مماثلة في مناطق أخرى.
وأوضح شيان: "كانت هذه قائمةً دولية. لكنهم فشلوا في الإيقاع بكل هذه البنوك". وأضاف شيان أنَّه من الواضح أنَّهم قاموا بممارسة نفس الأمر في مواقع إلكترونية في المكسيك وأوروغواي أيضاً. وأعلنت شركة سيمانتك إيقافها لـ14 هجوماً على المكسيك و11 هجوماً على أوروغواي.
في الواقع، يقول شيان إنَّ قدرة القراصنة على اختراق موقعٍ بعينه تُظهر مدى تطور قدراتهم. واستخدمت المجموعة كذلك برامج وأساليب اختراق منتشرة على نطاقٍ واسع بين مجرمي الإنترنت، ولكن بعد إضافة تعديلاتها الخاصة عليها، وهذا رغم اعتمادها في السابق على أدوات وبرامج صنعتها بنفسها فقط، وهو دليلٌ آخر على التطور.
وفي الوقت الذي كانت فيه البنوك البولندية هي الأكثر عدداً في قائمة الأهداف، فإن ثاني أكثر الدول تواجداً في القائمة كانت الولايات المتحدة.
وشملت البنوك الأميركية في القائمة الذراع الأميركي للبنك الألماني، وكذلك بنك "كوبانك"، الذي يُقرض المشاريع الزراعية والريفية، تم استهدافه.
كما ضمت القائمة البنوك المركزية في روسيا، وفنزويلا، والمكسيك، وتشيلي، وجمهورية التشيك. أما الهدف الوحيد المتعلق بالصين فكان بعض فروع "بنك أوف تشاينا" في هونغ كونغ والولايات المتحدة.
أطفال صغار
وبدأت كوريا الشمالية العمل على تطوير قدراتها في شن الهجمات الإلكترونية منذ بداية التسعينيات، وفقاً لمسؤولي كوريا الجنوبية.
وعادةً ما تقوم البلاد باختيار الأطفال الموهوبين في استخدام الحاسوب وتدريبهم كقراصنة، وفقاً لأشخاصٍ حضروا مناقشات الحكومة الكورية الجنوبية لقضية عمليات الاختراق التي تنفذها كوريا الشمالية.
ويعد العمل خارج البلاد حافزاً كبيراً للقراصنة، نظراً لعدم حصول الكثير من الشباب الكوريين الشماليين على فرصةٍ لمغادرة بلادهم المنعزلة الفقيرة.
وطالما التزم القراصنة بتنفيذ أهداف الحكومة الموضوعة، يُسمح لهم بالعيش في الخارج مع ميزة إدارة مواقع المراهنات غير القانونية على الإنترنت، ليحصدوا أرباحاً يقومون باقتسامها مع مشرفيهم فيما بعد.
وفي عام 2011، وجد المحققون أن بنكاً كورياً جنوبياً أُصِيبَ ببرنامجٍ خبيث عندما تم توصيل حاسوب يحتوي عليه بشبكة البنك لفترةٍ قصيرة عن طريق موظف الصيانة في الشركة.
وانبهر القراصنة الكوريون الجنوبيون أثناء تحليلهم للهجوم، ليس بسبب البرنامج الخبيث، بل نتيجة يقظة القراصنة الكوريين الشماليين على مدار ساعاتٍ وأيام في انتظار الوقت القصير الذي سيتم خلاله توصيل الحاسوب المصاب بشبكة البنك حتى يتمكنوا من تفعيل الفيروس، حسب ما ذكرت "نيوريورك تايمز".
وفي الوقت الذي حذرت فيه البنتاغون من أنَّ أعمال الاختراق التي يمكن لكوريا الشمالية القيام بها قد تكون وسيلةً أقل تكلفة لتنفيذ العمليات العسكرية؛ تُظهر الهجمات على البنوك الهدف الواضح لتلك العمليات، وهي الحصول على الأموال.
ويقول كيم سونغ جو، الأستاذ بكلية أمن المعلومات بالجامعة الكورية في سيول، وعمل من قبل كمستشار لقسم أمن الإنترنت التابع للحكومة الكورية الجنوبية: "في الماضي، كان القراصنة الكوريون الشماليون يهاجمون المواقع الحكومية بهدف تدمير أنظمتها وإحداث حالة من الفوضى الاجتماعية. والآن تغير التوجُّه ليصبح الحصول على الأموال، وذلك بالهجوم على البنوك والشركات الخاصة. ويأتي هذا نتيجة صعوبة الحصول على عملةٍ أجنبية في ظل عقوبات الأمم المتحدة".
كما بدأ قراصنة كوريا الشمالية في استخدام الرانسوم وير، وهي فيروسات تقوم بتشفير جميع البيانات على جهاز الحاسب أو الهاتف المصاب من أجل الحصول على المال. ويطلب القراصنة فديةً بعملة بيتكوين (عملة إلكترونية تتداول عبر الإنترنت فقط من دون وجود فيزيائي لها. وبلا هيئة تنظيمية مركزية تقف خلفها، لكن تستخدم للشراء عبر الإنترنت أو حتى تحويلها إلى العملات التقليدية) مقابل منح الضحية رمزاً لفك التشفير.
وفي يوليو/تموز 2016، صرحت شرطة كوريا الجنوبية بأنَّ وكالة استخبارات كوريا الشمالية الرئيسية قامت بسرقة البيانات الشخصية لأكثر من 10 ملايين عميل في إنتربارك، وهو متجرٌ إلكتروني في كوريا الجنوبية. ولم تعرف إنتربارك بحدوث الاختراق حتى استقبلوا رسالةً مجهولة تطالبهم بدفع 2.7 مليون دولار في صورة عملة بيتكوين، وتهددهم بنشر الأخبار عن تسريب البيانات الشخصية للعملاء في حالة عدم الدفع.
ونسبت كوريا الجنوبية هذا الهجوم إلى قراصنة تابعين لوكالة الاستخبارات الرئيسية في كوريا الشمالية، المكتب العام للاستطلاع.
وفي النهاية لم يتم دفع بيتكوين واحد، وبدلاً من دفع الفدية، قامت شركة إنتربارك بإبلاغ الشرطة.