حقائق سريعة

• أنشأ المحققون مطور تكنولوجيا معلومات أمريكي وهمي لاختراق مجموعة لازاروس الإجرامية الإلكترونية في كوريا الشمالية.
• تستهدف لازاروس أسواق الوظائف عن بُعد لتمرير عملاء كوريين شماليين إلى شركات عالمية باستخدام هويات مسروقة.
• بدلاً من البرمجيات الخبيثة، تركز لازاروس على سرقة بيانات الحسابات والحصول على وصول طويل الأمد عن بُعد.
• كشفت العملية عن استخدام متطور للآلات الافتراضية وأدوات المقابلات المدعومة بالذكاء الاصطناعي.
• يتم استغلال ممارسات التوظيف عن بُعد في التجسس الصناعي والسرقة المالية.

عملية الاصطياد: قلب الطاولة على لازاروس

تخيل رقعة شطرنج افتراضية: على جانب، مجموعة لازاروس الكورية الشمالية، المشهورة بعمليات السطو الإلكتروني والتجسس الرقمي؛ وعلى الجانب الآخر، تحالف من خبراء الأمن السيبراني يخططون لحركة مضادة لم يتوقعها أحد. لم يكن هذا مشهداً من فيلم تجسس، بل عملية واقعية قادها ماورو إلدريتش من شركة BCA LTD، بالتعاون مع NorthScan ومنصة تحليل البرمجيات الخبيثة ANY.RUN.

كانت الخطة جريئة: إنشاء مطور برمجيات أمريكي وهمي بالكامل - بما في ذلك البصمات الرقمية، والحسابات الاجتماعية، وسجل عمل مقنع. قام خبير الأمن السيبراني هاينر غارسيا، متظاهراً بأنه مسؤول توظيف، بعرض هذا المرشح الوهمي أمام عملاء لازاروس. تم اصطياد الطُعم. دون علم القراصنة، تم تسجيل كل ضغطة مفتاح وكل أمر، وكل حركة كانت تحت المراقبة.

تشريح هجوم من الداخل

مخطط لازاروس بسيط بشكل مقلق لكنه فعال. من خلال الاستيلاء على هويات حقيقية، يمررون عمال تكنولوجيا معلومات كوريين شماليين إلى وظائف عن بُعد في شركات مالية وصحية وهندسية حول العالم. تبدأ العملية بطلب توظيف مقنع - غالباً باستخدام أدوات ذكاء اصطناعي مثل Simplify Copilot أو AiApply - ثم ينتقلون بسرعة لطلب بيانات حساسة: أرقام الضمان الاجتماعي، صور الهويات، والوصول إلى أنظمة الشركات. بمجرد الدخول، يعمل القراصنة عبر أدوات سطح المكتب البعيد، ويرسلون الرواتب والبيانات مباشرة إلى بيونغ يانغ.

ما يجعل هذا الهجوم خبيثاً بشكل خاص هو اعتماده ليس على البرمجيات الخبيثة المتطورة، بل على الثقة والروتين. تستخدم لازاروس مولدات أكواد قائمة على المتصفح للمصادقة الثنائية، وشبكات VPN مثل Astrill لإخفاء حركة المرور، واتصالات بعيدة دائمة يتم إعدادها عبر PowerShell. تجري العملية كلها على ما يبدو أنها حواسيب محمولة أمريكية عادية - لكن في هذه العملية، كان "الحاسوب المحمول" مجرد طُعم افتراضي معد للمراقبة.

تداعيات أوسع: عندما يصبح العمل من المنزل خط المواجهة

هذه ليست المرة الأولى التي تتورط فيها لازاروس في خداع عالي المخاطر. فقد استهدفت المجموعة سابقاً بنوكاً، وبورصات العملات الرقمية، وحتى أنظمة الرعاية الصحية، وغالباً ما تترك وراءها خسائر بملايين الدولارات وأسراراً مخترقة. لكن التركيز الجديد على منصات العمل عن بُعد يشير إلى تحول: أصبح مكان العمل الرقمي ساحة المعركة الجديدة للتجسس والسرقة.

تؤكد تقارير من مكتب التحقيقات الفيدرالي وشركات الأمن السيبراني وجود زيادة في عدد عملاء كوريا الشمالية الذين يسعون لوظائف تكنولوجيا معلومات عن بُعد بهويات مزيفة، بهدف تجاوز العقوبات وتمويل النظام. سوق الهويات الرقمية المسروقة - ملفات LinkedIn، السير الذاتية، والاعتمادات - لم يكن أكثر سخونة من قبل.

العبرة؟ كل طلب وظيفة عبر الإنترنت أصبح الآن حصان طروادة محتملاً. يجب على الشركات تشديد إجراءات التحقق، وتوعية فرق الموارد البشرية وتكنولوجيا المعلومات، والتعامل مع كل طلب وصول بشك. في عصر العمل عن بُعد، قد يكون العدو بالفعل في الداخل - ما لم تكن تراقب.

ويكي كروك

• مجموعة لازاروس: مجموعة لازاروس هي فريق قرصنة ترعاه الدولة الكورية الشمالية، معروف بهجماته الإلكترونية العالمية وسرقة الأموال لتمويل أنشطة النظام.
• الآلة الافتراضية: الآلة الافتراضية هي حاسوب برمجي يعمل داخل حاسوب آخر، ويوفر بيئات معزولة لأنظمة تشغيل ومهام مختلفة.
• سطح المكتب البعيد: يتيح سطح المكتب البعيد للمستخدمين الوصول والتحكم الآمن في حاسوب من موقع آخر، ويستخدم عادة للعمل عن بُعد والدعم الفني.
• المصادقة الثنائية: المصادقة الثنائية (2FA) هي طريقة أمان تتطلب نوعين مختلفين من التعريف للوصول إلى الحساب، مما يصعب اختراقه.
• سرقة الهوية: سرقة الهوية هي جريمة يستخدم فيها شخص بيانات شخصية لشخص آخر دون إذنه، وغالباً لارتكاب الاحتيال أو السرقة المالية.