مجموعة هاكرز كوريا الشمالية سرقت 30 مليار دولار من الأصول الرقمية على مدى ست سنوات

في تقرير حديث للأمن السيبراني، تم الكشف عن أن مجموعة هاكر مرتبطة بكوريا الشمالية قامت بسرقة أصول رقمية بقيمة 3 مليارات دولار على مدى السنوات الست الماضية.

أشار التقرير إلى أنه في عام 2022 فقط، قامت هذه المنظمة هاكر بسرقة 1.7 مليار دولار من الأصول الرقمية، ومن المحتمل أن يتم استخدامها لتمويل برامج كوريا الشمالية. وأشارت شركة أخرى لتحليل بيانات blockchain إلى أن 1.1 مليار دولار من هذا المبلغ تم سرقته من منصات التمويل اللامركزي (DeFi). كما أكدت وزارة الأمن الداخلي الأمريكية في تقرير صدر في سبتمبر من العام الماضي على تسلل هذه المنظمة هاكر إلى بروتوكولات DeFi.

تتميز هذه المنظمة الهاكر بسرقة الأموال. في عام 2016، اخترقوا البنك المركزي البنغالي وسرقوا 81 مليون دولار. في عام 2018، هاجموا تباعًا بورصة عملات رقمية في اليابان والبنك المركزي الماليزي، وسرقوا 530 مليون دولار و390 مليون دولار على التوالي.

منذ عام 2017، أصبحت كوريا الشمالية تستهدف قطاع التشفير كأحد الأهداف الرئيسية للهجمات الإلكترونية. قبل ذلك، قامت كوريا الشمالية باختراق شبكة الجمعية الدولية للاتصالات المالية (SWIFT) وسرقة الأموال، مما أثار اهتمام المجتمع الدولي بشكل كبير. بعد ذلك، عززت المؤسسات المالية دفاعاتها في مجال الأمن السيبراني.

بعد ظهور الأصول الرقمية في عام 2017، حول هاكر كوريا الشمالية أهدافهم من التمويل التقليدي إلى هذا المجال الناشئ، حيث استهدفوا في البداية السوق الكورية ثم توسعوا ليشمل العالم بأسره.

تم اتهام هاكرز كوريا الشمالية في عام 2022 بسرقة 1.7 مليار دولار من الأصول الرقمية، وهو ما يعادل حوالي 5% من الناتج المحلي الإجمالي لكوريا الشمالية، أو 45% من نفقات الجيش لديها. هذه الرقم يكاد يكون 10 أضعاف قيمة صادرات كوريا الشمالية في عام 2021.

أسلوب عمل هاكر كوريا الشمالية في مجال التشفير، عادة ما يكون مشابهًا للجريمة الإلكترونية التقليدية التي تستخدم خلط العملات، المعاملات عبر السلاسل والتداول خارج البورصة. ولكن، بسبب دعم الدولة، فإن حجمه يتجاوز بكثير العصابات الإجرامية العادية. تشير البيانات إلى أن حوالي 44% من العملات الرقمية المسروقة في عام 2022 كانت مرتبطة بهاكر كوريا الشمالية.

أهداف هجمات هاكر كوريا الشمالية لا تشمل فقط البورصات، بل تشمل أيضًا المستخدمين الأفراد، وشركات رأس المال الاستثماري، وغيرها من التقنيات والبروتوكولات. يمكن أن تكون جميع المؤسسات والأفراد في الصناعة أهدافًا محتملة.

يجب على المؤسسات المالية التقليدية أيضًا مراقبة أنشطة هاكر كوريا الشمالية عن كثب. بعد تحويل الأصول الرقمية المسروقة إلى عملة قانونية، يتم نقلها بين حسابات مختلفة لإخفاء المصدر. عادةً ما يتم استخدام معلومات الهوية المسروقة والصور المعدلة لتجاوز مكافحة غسل الأموال والتحقق من الهوية. يمكن استخدام أي معلومات شخصية سرقها المهاجمون لتسجيل حسابات وإتمام عملية غسل الأموال.

نظرًا لأن هجمات هاكر الكوريين الشماليين تبدأ غالبًا من الهندسة الاجتماعية والتصيد الاحتيالي، يجب على المنظمات تدريب الموظفين على التعرف على مثل هذه الأنشطة، وتنفيذ مصادقة متعددة العوامل قوية، مثل المصادقة بدون كلمة مرور المتوافقة مع معيار FIDO2.

تعتبر كوريا الشمالية استمرار سرقة الأصول الرقمية كمصدر رئيسي للإيرادات لتمويل المشاريع العسكرية والأسلحة. على الرغم من أنه لا يزال غير واضح المبلغ المحدد من الأموال المسروقة الذي يتم استخدامه مباشرة لإطلاق الصواريخ الباليستية، إلا أن كمية الأصول الرقمية المسروقة وعدد عمليات الإطلاق قد زادت بشكل كبير في السنوات الأخيرة. إذا لم تكن هناك لوائح أكثر صرامة ومتطلبات للأمن السيبراني واستثمارات، فمن المحتمل أن تواصل كوريا الشمالية استخدام صناعة الأصول الرقمية كمصدر إضافي للإيرادات الوطنية.

في يوليو 2023، أعلنت شركة برمجيات أمريكية أنها تعرضت للاختراق من قبل هاكر كوري شمالي. ثم أشار باحثون إلى أن المجموعة المسؤولة عن هذا الهجوم قد تكون منظمة هاكر كورية شمالية تركز على الأصول الرقمية. حتى أغسطس 2023، أفادت وكالة التحقيقات الفيدرالية الأمريكية أن منظمة الهاكر الكورية الشمالية متورطة في العديد من الهجمات، وسرقت ما مجموعه 197 مليون دولار من الأصول الرقمية. هذه الأموال سمحت لحكومة كوريا الشمالية بالاستمرار في العمل تحت عقوبات صارمة، وتمويل ما يصل إلى 50% من تكلفة برنامج الصواريخ الباليستية.

في عام 2017، قام هاكر كوري شمالي باختراق العديد من البورصات الكورية الجنوبية، وسرق حوالي 82.7 مليون دولار من الأصول الرقمية. في نفس العام، وردت تقارير عن تسرب المعلومات الشخصية لمستخدمي إحدى البورصات الكورية الجنوبية، مما جعل مستخدمي الأصول الرقمية هدفًا للهجمات.

بالإضافة إلى السرقة، بدأ هاكرز كوريا الشمالية أيضًا في تعدين الأصول الرقمية. في أبريل 2017، اكتشف الباحثون برنامج تعدين مونيرو مثبت في اختراق هاكرز كوريا الشمالية. في يناير 2018، ذكرت دراسة أن منظمة كورية شمالية قامت باختراق خوادم إحدى الشركات للتعدين، وحصلت على حوالي 70 عملة مونيرو كانت قيمتها 25000 دولار في ذلك الوقت.

في عام 2020، استمر الباحثون في مجال الأمان في الإبلاغ عن هجمات جديدة من هاكر كوري شمالي تستهدف صناعة الأصول الرقمية العالمية، حيث استخدموا LinkedIn كطريقة للتواصل الأولي مع الأهداف.

كانت عام 2021 هو العام الأكثر نشاطًا لكوريا الشمالية في مجال الأصول الرقمية، حيث قامت باختراق ما لا يقل عن 7 مؤسسات وسرقة 400 مليون دولار. بالإضافة إلى ذلك، بدأت هاكرز كوريا الشمالية في استهداف أنواع مختلفة من العملات وNFT.

في يناير 2022، أكد الباحثون أنه لا يزال هناك 170 مليون دولار من الأصول الرقمية المسروقة منذ عام 2017 تنتظر الاسترداد. تشمل الهجمات البارزة هاكرز كوريا الشمالية في عام 2022 عدة جسور عبر السلاسل، مما تسبب في خسائر ضخمة.

في أكتوبر 2022، أعلنت الشرطة اليابانية أن هاكرز كوريين شماليين استهدفوا شركات الأصول الرقمية اليابانية، حيث تم اختراق بعض الشركات بنجاح وسرقة الأموال منها.

بين يناير وأغسطس 2023، يُزعم أن هاكرز كوريين شماليين سرقوا 200 مليون دولار من منصات متعددة. في هجوم وقع في يوليو 2023، قد يكون الهاكر قد انتحل شخصية مُجنّد مستهدفًا موظفي الشركات المستهدفة، وقضى 6 أشهر في محاولة الحصول على الوصول إلى الشبكة.

لمنع هجمات هاكر من كوريا الشمالية، يُوصى باتخاذ التدابير التالية:

• تفعيل المصادقة متعددة العوامل، واستخدام الأجهزة الصلبة لتعزيز الأمان
• تفعيل جميع إعدادات المصادقة المتعددة المتاحة لحساب البورصة
• التحقق من صحة حسابات وسائل التواصل الاجتماعي
• توخي الحذر حيال أي عمليات إيردروب أو أنشطة ترويجية مجانية
• تحقق من المصادر الرسمية لتأكيد صحة الأنشطة مثل الإيهام.
• تحقق من عنوان URL وراقب إعادة التوجيه، تأكد من زيارة الموقع الرسمي
• كن حذرًا للغاية أثناء التداول، واستخدم محفظة أجهزة
• استخدم فقط التطبيقات اللامركزية الموثوقة، تحقق من عنوان العقد الذكي
• تحقق بعناية من عنوان الموقع الرسمي لتجنب التزوير
• كن مشككا في الشروط التي تبدو مغرية للغاية