هفوة في VPN تكشف آلة تجسس كوريا الشمالية عبر العمل عن بُعد

العنوان الفرعي: خطأ غير مقصود في VPN ارتكبه مخترق كوري شمالي فتح نافذة على مخططات بيونغ يانغ المربحة للتغلغل العالمي في قطاع تكنولوجيا المعلومات.

في صباح عادي من شهر أغسطس، رحّب فريق الموارد البشرية في شركة غربية بموظف جديد واعد في مجال تكنولوجيا المعلومات. خلال عشرة أيام، كُشف ذلك الموظف - المسلّح بإمكانية الوصول إلى بيانات حساسة على Salesforce - على أنه عميل كوري شمالي، ضُبط متلبسًا بفضل هفوة واحدة فوضوية في VPN. خلف هذا الإنذار الذي كاد يفلت، تكمن عملية هائلة على نطاق صناعي تستغل العمل عن بُعد لتمويل أكثر أنظمة العالم سرية.

حقائق سريعة

تظاهر مخترق كوري شمالي بأنه عامل تكنولوجيا معلومات عن بُعد، وتم توظيفه لدى شركة غربية في أغسطس 2025.
بدأ الاكتشاف بعد أن جاء تسجيل دخول من سانت لويس بولاية ميزوري بدلًا من الصين - بسبب فشل في VPN.
استخدم العميل Astrill VPN، وهي أداة يفضّلها فاعلو التهديدات الكوريون الشماليون لإخفاء المواقع.
يمكن لمثل هؤلاء العملاء كسب أكثر من 300,000 دولار سنويًا، مع تحويل الأموال إلى برامج أسلحة كوريا الشمالية.
تستخدم فرق ترعاها الدولة منصات داخلية لتنسيق الاحتيال الوظيفي وجهود تهريب البيانات.

تشريح عميل مزدوج رقمي

عندما سجّل عامل تكنولوجيا المعلومات الدخول من جهاز غير متوقع في ميزوري، دوّت الإنذارات عبر لوحة تحكم أمن الشركة. حتى ذلك الحين، كانت البصمة الرقمية للموظف - التي أنشأها Cybereason XDR - تعكس نمطًا اعتياديًا من عمليات تسجيل الدخول من الصين. لكن في 21 أغسطس، أثارت شذوذ جغرافي مفاجئ تنبيهًا عالي الخطورة: فقد فشل VPN الخاص بالمخترق، Astrill، في إخفاء موقعه الحقيقي على نحو صحيح.

لم يكن هذا خللًا تقنيًا عاديًا. يُعد Astrill VPN خيارًا مفضلًا معروفًا لوحدات كوريا الشمالية السيبرانية، بما في ذلك مجموعة لازاروس سيئة الصيت ومجموعاتها الفرعية. إن قدرة الـVPN على تجاوز «الجدار الناري العظيم» وانتحال مواقع داخل الولايات المتحدة تجعله أداة أساسية للاندماج مع العاملين الشرعيين عن بُعد.

وسرعان ما ربطت فرق الأمن الخيوط، عبر الجمع بين استخبارات تهديدات جماعية المصدر وتحليلات سلوكية. وبحلول 25 أغسطس، قامت الشركة بحظر الموظف المارق - قبل أن يتمكن من تهريب أي بيانات حساسة أو تخريبها.

ما وراء الذئب المنفرد: مصانع كوريا الشمالية للعمل عن بُعد

هذه الحادثة بعيدة كل البعد عن كونها معزولة. تكشف أبحاث مشتركة من Flare وIBM X-Force عن منظومة مترامية الأطراف من «العمال الأشباح» الكوريين الشماليين المندسين في شركات حول العالم. كثيرون منهم خريجو جامعات تقنية نخبوية في بيونغ يانغ ويعملون عبر منظمات واجهة مثل Willow Tree Economic Technology Exchange Centre.

ينسّق هؤلاء العملاء عبر أدوات إدارة مملوكة، يتتبعون من خلالها طلبات التوظيف وتحديثات البرمجيات. يركّز بعضهم على سرقة أسرار الشركات، لكن الهدف الرئيسي مالي: تحويل ملايين الدولارات إلى برامج أسلحة كوريا الشمالية الخاضعة للعقوبات. ولا تُعد الديب فايك والسير الذاتية المزيفة سوى جزء من ترسانتهم، كما ظهر في حالات أخرى خُدع فيها مديرو التوظيف بمقابلات فيديو مولّدة بالذكاء الاصطناعي.

ومع تبنّي المزيد من الشركات للعمل عن بُعد، يتزايد خطر تهديدات داخلية خفية. ويحث الخبراء الشركات على التحقق المتقاطع من مواقع تسجيل الدخول، وتدقيق أمن الأجهزة، ومراقبة استخدام VPN غير المصرح به - خصوصًا أثناء مرحلة الانضمام.

الخلاصة

قد تكون زلة VPN في ميزوري قد أوقفت عميلًا كوريًا شماليًا واحدًا، لكن المخطط العالمي مستمر. في عصر العمل عن بُعد، قد يكون كل موظف جديد منتحلًا رقميًا محتملًا - ولم تكن المخاطر يومًا أعلى.

WIKICROOK

VPN (الشبكة الخاصة الافتراضية): تقوم VPN بتشفير اتصالك بالإنترنت وإخفاء عنوان IP الخاص بك، ما يوفر خصوصية وأمانًا إضافيين عند التصفح عبر الإنترنت أو استخدام شبكات Wi‑Fi العامة.
XDR (الكشف والاستجابة الموسّعان): XDR هو نظام للأمن السيبراني يكتشف التهديدات ويستجيب لها عبر أجهزة الكمبيوتر والشبكات وخدمات السحابة من منصة واحدة.
التحليلات السلوكية: تستخدم التحليلات السلوكية مراقبة أفعال المستخدمين وتحليلها لاكتشاف النشاط غير الطبيعي الذي قد يشير إلى تهديد أمني محتمل.
تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من نظام الضحية إلى سيطرة المهاجم، وغالبًا لأغراض خبيثة.
ديب فايك: الديب فايك هو محتوى إعلامي مولّد بالذكاء الاصطناعي يحاكي مظهر الأشخاص الحقيقيين أو أصواتهم، وغالبًا ما يُستخدم للخداع عبر إنشاء فيديوهات أو تسجيلات صوتية مزيفة مقنعة.