رموز QR تتحول إلى السلاح السري لكوريا الشمالية في التجسس السيبراني على الولايات المتحدة

تحذير من الـFBI: قراصنة كوريا الشمالية يستغلون رموز QR لتجاوز الأمن وسرقة بيانات الاعتماد من مؤسسات أمريكية.

تبدأ بدعوة - ربما إلى مؤتمر مرموق، أو اجتماع استثماري واعد. لكن خلف الواجهة اللامعة للفرصة يكمن فخ ماكر: رمز QR واحد ينتظر أن يُمسح. والآن، يقرع مكتب التحقيقات الفيدرالي ناقوس الخطر بعدما حوّلت مجموعة القراصنة الكورية الشمالية «كيمسوكي» هذه التقنية البسيطة إلى سلاح سيبراني متقدم، مستهدفة بعضًا من أكثر المؤسسات الأمريكية حساسية.

حقائق سريعة

تستهدف «كيمسوكي» (APT43)، وهي مجموعة قرصنة مدعومة من الدولة في كوريا الشمالية، مؤسسات أمريكية باستخدام رموز QR خبيثة.
تشمل الضحايا مراكز أبحاث، وهيئات حكومية، ومنظمات غير حكومية، ومؤسسات أكاديمية، وشركات استشارات استراتيجية تركز على سياسة كوريا الشمالية.
ينتحل المهاجمون صفة شخصيات موثوقة - مثل مستثمرين أو موظفي سفارات - لخداع المستلمين ودفعهم لمسح رموز QR.
يؤدي مسح رمز QR إلى صفحات تسجيل دخول مزيفة، غالبًا ما تقلّد Microsoft 365 أو Google، لسرقة بيانات الاعتماد وتجاوز المصادقة متعددة العوامل.
يحث الـFBI المؤسسات على تدريب الموظفين، والتحقق من مصادر رموز QR، وتطبيق إدارة الأجهزة المحمولة.

صعود «Quishing»

بينما ظل التصيّد الاحتيالي يطارد صناديق البريد منذ زمن، يمنح «الكويشينغ» - استخدام رموز QR في التصيّد - المهاجمين أفضلية جديدة. يكشف أحدث تنبيه من الـFBI أن «كيمسوكي» أتقنت هذا الأسلوب، عبر تضمين رموز QR في رسائل تصيّد موجّهة (spearphishing) صُممت لتفادي مرشحات الأمان التقليدية. وعلى خلاف الروابط أو المرفقات، تدفع رموز QR الأهداف إلى استخدام أجهزتهم المحمولة - وهي أجهزة غالبًا ما تكون خارج نطاق مراقبة أمن الشركات.

وبمجرد مسحها، تمرّر هذه الرموز الضحايا عبر بنية تحتية يسيطر عليها القراصنة تجمع معلومات تفصيلية عن الجهاز: نظام التشغيل، وعنوان IP، وتفاصيل المتصفح، وحتى حجم الشاشة. ثم يُعرض على المستخدم غير المنتبه صفحة تسجيل دخول مزيفة مقنعة، صُممت لتقليد منصات موثوقة مثل Microsoft 365 أو Okta أو Google.

الخطر الحقيقي؟ إذا أدخل الضحية بيانات اعتماده، يمكن للمهاجمين سرقة رموز الجلسة (session tokens) - مفاتيح رقمية تمنح الوصول إلى حسابات السحابة. ومن خلال إعادة استخدام هذه الرموز، يستطيع القراصنة تجاوز حتى المصادقة متعددة العوامل، واختطاف الهويات دون إطلاق إنذارات الأمان المعتادة. ويصف الـFBI ذلك بأنه «مسار اختراق هوية مقاوم للمصادقة متعددة العوامل (MFA-resilient identity intrusion vector)» - طريقة متقدمة لهزيمة دفاعات الأمان الحديثة.

وقد انتحلت حملات «كيمسوكي» صفة الجميع، من مسؤولي السفارات إلى منظمي المؤتمرات، مستغلة الثقة والإلحاح لاستدراج أهداف عالية القيمة. وفي حالة موثقة، تلقت شركة استشارات استراتيجية أمريكية رسالة بريد إلكتروني عن مؤتمر غير موجود، مرفقة برمز QR لـ«التسجيل» - خدعة متقنة صُممت لتحقيق أقصى قدر من التضليل.

البقاء خطوة إلى الأمام

مع ازدياد شيوع رموز QR في الحياة اليومية، تتزايد إمكانات إساءة استخدامها. نصيحة الـFBI واضحة: يقظة الموظفين، والتحقق الصارم من مصادر رموز QR، وإدارة قوية للأجهزة المحمولة، والإبلاغ السريع عن أي نشاط مريب أصبحت الآن دفاعات أساسية. في عصر الخداع الرقمي هذا، قد يفتح مسح بسيط الباب أمام تجسس تقوده دول - وعلى المؤسسات أن تغلق ذلك الباب، وبسرعة.

WIKICROOK

التصيّد الموجّه (Spearphishing): التصيّد الموجّه هو عملية احتيال عبر البريد الإلكتروني تستهدف أشخاصًا بعينهم، حيث ينتحل المهاجمون صفة مصادر موثوقة لخداع المستلمين للنقر على روابط خبيثة أو مشاركة بيانات حساسة.
رمز QR: رمز QR هو باركود ثنائي الأبعاد يخزن بيانات مثل الروابط أو النصوص، ويمكن للأجهزة مسحه بسهولة، لكنه قد يخفي أيضًا تعليمات خبيثة.
رمز الجلسة (Session Token): رمز الجلسة هو شفرة رقمية فريدة تُبقي المستخدمين مسجّلين الدخول إلى المواقع أو التطبيقات. وإذا سُرق، يمكن للمهاجمين الوصول إلى الحسابات دون كلمة مرور.
Multi: يشير Multi إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الموثوقية والتغطية والأمان.
كشف الاستجابة على نقاط النهاية (EDR): أدوات كشف الاستجابة على نقاط النهاية (EDR) هي أدوات أمنية تراقب أجهزة الكمبيوتر بحثًا عن نشاط مريب، لكنها قد تفوّت هجمات قائمة على المتصفح لا تترك ملفات.