منظمة هاكر كورية شمالية تسرق 3 مليارات دولار من الأصول الرقمية في 6 سنوات

مؤخراً، كشف تقرير صادر عن وكالة الأمن السيبراني عن حقيقة صادمة: نجح هاكر مرتبط بكوريا الشمالية في سرقة ما يصل إلى 3 مليار دولار من الأصول الرقمية على مدار السنوات الست الماضية.

تشير التقارير إلى أنه في عام 2022 وحده، نهب هذا التنظيم 1.7 مليار دولار من الأصول الرقمية، ومن المرجح أن يتم استخدام هذه الأموال لدعم خطط كوريا الشمالية. وأشارت شركة تحليل بيانات blockchain إلى أن حوالي 1.1 مليار دولار قد سُرقت من منصات التمويل اللامركزي (DeFi). كما أكدت وزارة الأمن الداخلي الأمريكية في تقريرها الذي صدر في سبتمبر الماضي على هجمات هذا التنظيم المتكررة على بروتوكولات DeFi.

هذه المنظمة الهاكر معروفة بسرقة الأموال. في عام 2016، قاموا باختراق البنك المركزي البنغلاديشي وسرقوا 81 مليون دولار. في عام 2018، هاجموا بورصة للأصول الرقمية في اليابان وسرقوا 530 مليون دولار، ومن البنك المركزي الماليزي سرقوا 390 مليون دولار.

منذ عام 2017، أصبحت كوريا الشمالية الهدف الرئيسي للهجمات الإلكترونية في صناعة التشفير. قبل ذلك، كانوا يسرقون الأموال من المؤسسات المالية عن طريق اختراق شبكة SWIFT. أثارت هذه الأفعال اهتمامًا كبيرًا من الوكالات الدولية، مما دفع المؤسسات المالية إلى زيادة استثماراتها في الدفاعات الإلكترونية.

في عام 2017، مع ظهور الأصول الرقمية، تحول هاكر كوريا الشمالية من التركيز على المالية التقليدية إلى هذه العملة الجديدة. في البداية، استهدفوا سوق التشفير الكورية، ثم وسعوا نفوذهم ليشمل نطاقًا عالميًا.

في عام 2022، تم اتهام هاكرز من كوريا الشمالية بسرقة حوالي 1.7 مليار دولار من الأصول الرقمية، وهو ما يعادل حوالي 5% من حجم الاقتصاد المحلي لكوريا الشمالية، أو 45% من ميزانيتها العسكرية. هذا الرقم يقارب 10 أضعاف إجمالي صادرات كوريا الشمالية في عام 2021.

تتمثل أساليب هاكر كوريا الشمالية في صناعة التشفير عادةً في استخدام خلطات التشفير، والمعاملات عبر السلاسل، والمعاملات خارج البورصة بالعملات التقليدية، وهي مشابهة لأساليب الجريمة الإلكترونية التقليدية. ومع ذلك، نظرًا لدعم الدولة، فإنهم قادرون على توسيع نطاق أنشطتهم المسروقة إلى حجم لا تستطيع عصابات الجريمة الإلكترونية التقليدية الوصول إليه.

وفقًا لتتبع البيانات، كانت حوالي 44% من الأصول الرقمية المسروقة في عام 2022 مرتبطة بأعمال هاكر من كوريا الشمالية.

تستهدف هجمات هاكر كوريا الشمالية ليس فقط البورصات، ولكن أيضا المستخدمين الأفراد، وشركات رأس المال المغامر، وغيرها من التقنيات والبروتوكولات. يمكن أن تصبح جميع المؤسسات والأفراد الذين يعملون في صناعة الأصول الرقمية أهدافا محتملة، حيث توفر هذه العمليات للحكومة الكورية الشمالية قناة مستمرة للتشغيل وجمع الأموال.

يجب على العاملين في صناعة التشفير، ومشغلي البورصات، ورواد الأعمال أن يكونوا على دراية بأنهم قد يصبحون أهدافًا لهجمات الهاكر. يجب على المؤسسات المالية التقليدية أيضًا أن تراقب عن كثب أنشطة منظمات الهاكر الكورية الشمالية. بمجرد سرقة الأصول الرقمية وتحويلها إلى عملة قانونية، ستنتقل الأموال بين حسابات مختلفة لإخفاء المصدر. عادةً ما تُستخدم الهويات المسروقة والصور المعدلة لتجاوز مكافحة غسل الأموال والتحقق من هوية العملاء.

نظرًا لأن هجمات هاكر كورية شمالية غالبًا ما تبدأ من الأنشطة الاجتماعية الهندسية وعمليات التصيد الاحتيالي، يجب على المنظمات تدريب الموظفين على مراقبة هذه الأنشطة، وتنفيذ مصادقة متعددة العوامل قوية، مثل المصادقة بدون كلمة مرور وفقًا لمعيار FIDO2.

ستستمر كوريا الشمالية في سرقة الأصول الرقمية باعتبارها مصدر دخل رئيسي لتمويل مشاريعها العسكرية والأسلحة. على الرغم من أنه لم يتضح بعد مقدار الأصول الرقمية المسروقة التي تستخدم مباشرة لتمويل عمليات إطلاق الصواريخ، إلا أن كمية الأصول الرقمية المسروقة وعدد عمليات إطلاق الصواريخ قد زادت بشكل كبير في السنوات الأخيرة. إذا لم تكن هناك لوائح أكثر صرامة ومتطلبات للأمن السيبراني واستثمارات في الأمن السيبراني لشركات الأصول الرقمية، فمن المؤكد تقريبًا أن كوريا الشمالية ستواصل اعتبار صناعة الأصول الرقمية مصدرًا لدعم الإيرادات الإضافية للدولة.

في يوليو 2023، أعلنت شركة برمجيات أمريكية أن هاكر مدعوم من كوريا الشمالية قد اخترق شبكتها. ثم نشر الباحثون تقريرًا يشير إلى أن المجموعة المسؤولة عن هذا الهجوم من المرجح أن تكون منظمة هاكر كورية شمالية تركز على الأصول الرقمية. اعتبارًا من أغسطس 2023، أصدرت مكتب التحقيقات الفيدرالي الأمريكي بيانًا يفيد بأن مجموعة هاكر كورية شمالية متورطة في عدة هجمات هاكر، وسرقت ما مجموعه 197 مليون دولار من الأصول الرقمية. وقد سمحت هذه الأموال للحكومة الكورية الشمالية بالاستمرار في العمل تحت عقوبات دولية صارمة، وتمويل ما يصل إلى 50% من تكلفة برنامجها للصواريخ الباليستية.

في عام 2017، قام هاكر من كوريا الشمالية باختراق عدة بورصات كورية جنوبية، حيث بلغت قيمة الأصول الرقمية المسروقة حوالي 82.7 مليون دولار. في نفس العام، بعد تسرب المعلومات الشخصية لمستخدمين في إحدى البورصات في يوليو، أصبح مستخدمو الأصول الرقمية هدفًا للهجمات.

بجانب سرقة الأصول الرقمية، تعلم هاكرز كوريا الشمالية أيضًا تعدين الأصول الرقمية. في أبريل 2017، اكتشف الباحثون برنامج تعدين مونيرو مثبت في اختراق منظمة هاكر. في يناير 2018، أعلن الباحثون الكوريون أن منظمة في كوريا الشمالية قامت باختراق خادم شركة في صيف 2017 واستخدمت ذلك في تعدين حوالي 70 عملة مونيرو كانت قيمتها حينها حوالي 25000 دولار.

في عام 2020، واصل الباحثون في الأمن الإبلاغ عن هجمات إلكترونية جديدة هاكر كوري شمالي تستهدف صناعة العملات الرقمية. استهدفت مجموعة هاكر كورية شمالية بورصات العملات الرقمية في عدة دول، واستخدمت لينكد إن كوسيلة للوصول إلى الأهداف الأولية.

كان عام 2021 هو العام الأكثر نشاطًا لكوريا الشمالية في استهداف صناعة الأصول الرقمية، حيث قاموا باختراق ما لا يقل عن 7 مؤسسات للعملات الرقمية وسرقوا أصولًا رقمية بقيمة 400 مليون دولار. بالإضافة إلى ذلك، بدأ هاكرز كوريا الشمالية في استهداف العملات البديلة، بما في ذلك رموز ERC-20، وكذلك NFTs.

في يناير 2022، أكد الباحثون أن هناك 1.7 مليار دولار من الأصول الرقمية لا تزال غير مُستردة منذ عام 2017.

في عام 2022، تضمنت الهجمات الملحوظة من قبل منظمة هاكر الكورية الشمالية عدة جسور عبر السلاسل، مع خسائر إجمالية تزيد عن 900 مليون دولار. كانت هذه الهجمات تستهدف بشكل خاص الجسور عبر السلاسل التي تربط بين سلسلتين كتلتين، مما يسمح للمستخدمين بإرسال عملة مشفرة من سلسلة كتلة إلى أخرى تحتوي على عملة مشفرة مختلفة.

في أكتوبر 2022، أعلنت إدارة شرطة اليابان أن مجموعة هاكرز كورية شمالية قامت بشن هجمات على الشركات التي تعمل في صناعة الأصول الرقمية في اليابان. على الرغم من عدم تقديم تفاصيل محددة، إلا أن البيان أشار إلى أن بعض الشركات تعرضت لاختراقات ناجحة وتمت سرقة العملات الرقمية.

بين يناير وأغسطس 2023، يُزعم أن مجموعة هاكرز كورية شمالية سرقت 200 مليون دولار من عدة منصات. في إحدى الهجمات، قد يتظاهر الهاكر كمُجنِّد، ويستهدف موظفي الشركة المستهدفة من خلال إرسال رسائل بريد إلكتروني ومراسلات على LinkedIn. قالت الشركة إن الهاكر قضى 6 أشهر في محاولة الحصول على وصول إلى شبكتها.

من أجل حماية مستخدمي الأصول الرقمية والشركات من هجمات القرصنة الكورية الشمالية، قدم الخبراء الاقتراحات التالية:

1. تفعيل المصادقة متعددة العوامل (MFA): استخدم أجهزة الأجهزة مثل YubiKey لمحافظ العملات والمعاملات لتعزيز الأمان.

2. قم بتمكين أي إعدادات MFA متاحة لتبادل الأصول الرقمية لحماية الحساب من عمليات تسجيل الدخول غير المصرح بها أو السرقة.

3. تحقق من حسابات وسائل التواصل الاجتماعي التي تم التحقق منها، وتحقق مما إذا كان اسم المستخدم يحتوي على أحرف خاصة أو أرقام تستبدل الحروف.

4. تأكد من أن الصفقة المطلوبة قانونية، والتحقق من أي عمليات إيردروب أو حملات ترويجية أخرى مجانية للأصول الرقمية أو NFT.

5. عند تلقي إيردروب أو محتوى آخر من منصات كبيرة، تحقق دائمًا من المصادر الرسمية.

6. تحقق دائمًا من عنوان URL ، وراقب إعادة التوجيه بعد النقر على الرابط ، للتأكد من أن الموقع هو الموقع الرسمي وليس موقع تصيد.

بالنسبة للاحتيال على وسائل التواصل الاجتماعي، هناك أيضًا النصائح الدفاعية التالية:

1. كن حذرًا للغاية عند إجراء معاملات الأصول الرقمية. لا توجد أي ضمانات مؤسسية للأصول الرقمية لتخفيف الاحتيال "التقليدي".

2. استخدم محفظة أجهزة. قد تكون محافظ الأجهزة أكثر أمانًا من "المحافظ الساخنة" المتصلة دائمًا بالإنترنت.

3. استخدم فقط التطبيقات اللامركزية الموثوقة (dApps)، وتحقق من عنوان العقد الذكي للتأكد من صحته وسلامته.

4. تحقق مزدوج من عنوان الموقع الرسمي لتجنب التقليد. قد تعتمد بعض صفحات التصيد التي تسرق الأصول الرقمية على الأخطاء الإملائية في أسماء النطاقات لخداع المستخدمين.

5. كن مشكوكًا في العروض التي تبدو جيدة جدًا لدرجة يصعب تصديقها. ستجذب صفحات التصيد المتعلقة بالأصول الرقمية الضحايا بمعدلات تداول عملات رقمية مواتية أو رسوم غاز منخفضة للتفاعل مع سك NFTs.