دليل بيونغ يانغ لبرمجيات الفدية: كيف تُسلّح مجموعة لازاروس الكورية الشمالية «ميدوسا» ضد مستشفيات الولايات المتحدة

كانت نوبة الليل في مستشفى بكانساس توشك على الانتهاء حين انطفأت الشاشات. اختفت السجلات الطبية خلف جدران مُشفّرة، وتوقفت معدات منقذة للحياة. في ظلال الفضاء السيبراني كان خصم مألوف يعمل: أشهر وحدة اختراق في كوريا الشمالية، مجموعة لازاروس. لكن هذه المرة لم يستخدموا برمجياتهم الخبيثة المصنوعة محليًا - كان لديهم سلاح جديد: برمجية الفدية «ميدوسا»، أداة تُستأجر ضمن أكثر شبكات الجريمة السيبرانية ربحًا في العالم.

كشف أحدث تقرير لشركة «سيمانتيك» الستار عن تطور مقلق في عمليات كوريا الشمالية السيبرانية. فقد لوحِظت مجموعة لازاروس - المعروفة أصلًا بالتجسس السيبراني والهجمات التخريبية - وهي تستخدم برمجية الفدية «ميدوسا» في هجمات بدوافع مالية على مؤسستين كبيرتين على الأقل: شركة في الشرق الأوسط، ومزوّد رعاية صحية في الولايات المتحدة. قام المهاجمون بتشفير أنظمة حيوية، ما عطّل تقديم الرعاية وعرّض الأرواح للخطر.

«ميدوسا»، التي ظهرت مطلع عام 2023، ليست برمجية خبيثة عادية. فهي تعمل وفق نموذج «برمجيات الفدية كخدمة» (RaaS)، ما يمكّن الشركاء الإجراميين والجهات الفاعلة من الدول على حد سواء من استئجار برمجية الفدية وتقاسم مبالغ الفدية. ومنذ ظهورها، نفذت «ميدوسا» أكثر من 350 هجومًا، ووصلت مبالغ الفدية أحيانًا إلى 15 مليون دولار - مع أن متوسط المدفوعات يدور حول 260 ألف دولار. وبالنسبة لقراصنة كوريا الشمالية، تُعد هذه الأموال شريان حياة يساعد على تجاوز العقوبات الدولية وتمويل المزيد من عمليات التجسس.

ليست هذه أول تجربة للازاروس مع برمجيات الفدية. فقد شهدت حملات سابقة نشر «ماوي» - وهي سلالة يُعتقد أنها طُوّرت داخليًا - ضد مستشفيات أميركية، مع آثار مدمرة. وربط مكتب التحقيقات الفيدرالي (FBI) ووكالات أخرى مجموعات فرعية من لازاروس مثل «أندارييل» و«ستونفلاي» بهذه الهجمات، وأصدروا مذكرات فدرالية بل وحتى مكافأة قدرها 10 ملايين دولار بحق المخترق المزعوم «ريم جونغ هيوك». لكن التحول إلى أدوات RaaS مثل «ميدوسا» يمثل انعطافًا استراتيجيًا، يمنح مشغلي كوريا الشمالية السيبرانيين إنكارًا معقولًا وإمكانية الوصول إلى ترسانة أوسع.

يكشف التحليل التقني أن الهجمات المنسوبة إلى لازاروس استخدمت مزيجًا من أدوات كورية شمالية مخصصة (مثل الأبواب الخلفية وسارقي كلمات المرور) إلى جانب أدوات اختراق معروفة مثل «ميميكاتز» و«كروم ستيلر». ولا تُظهر حملة «ميدوسا» أي رحمة: فبينما يتجنب بعض مجرمي الإنترنت استهداف قطاع الرعاية الصحية، لا يساور القراصنة الكوريين الشماليين مثل هذه التحفظات، إذ يضربون المستشفيات والمنظمات غير الربحية وحتى مرافق للأطفال المصابين بالتوحد.

يحذر محللون من أن الحدود بين التجسس المدعوم من الدولة والجريمة السيبرانية باتت تتلاشى. فالمجموعات الروسية والصينية والإيرانية والكورية الشمالية باتت تستغل برمجيات الفدية ليس فقط لجني المال، بل أيضًا كغطاء لجمع المعلومات والتخريب. ومع كل هجوم، تصقل كوريا الشمالية تكتيكاتها - تموّل نظامها، وتطوّر حرفيتها التجسسية، وتذكّر العالم بأن لا قطاع بمنأى عن الابتزاز الرقمي.

ومع تحوّل برمجيات الفدية إلى مجرد أداة أخرى في الترسانة الجيوسياسية، تواجه المنظمات في كل مكان حقيقة مُرعبة: في أيدي قراصنة الدول، لم تعد الجريمة السيبرانية مجرد مسألة مال - بل مسألة قوة ونفوذ ومستقبل الصراع الدولي.

ويكي كروك

• برمجيات الفدية: برمجيات الفدية هي برامج خبيثة تُشفّر البيانات أو تقفلها، وتطالب الضحايا بالدفع لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
• مجموعة لازاروس: مجموعة لازاروس فريق اختراق ترعاه الدولة في كوريا الشمالية، معروف بهجمات إلكترونية عالمية وسرقة الأموال لتمويل أنشطة النظام.
• مؤشرات الاختراق (IoCs): مؤشرات الاختراق (IoCs) هي دلائل مثل أسماء الملفات أو عناوين IP أو شذرات من الشيفرة تساعد على اكتشاف ما إذا كان نظام حاسوبي قد تعرّض للاختراق.
• ميميكاتز: «ميميكاتز» أداة تستخرج كلمات المرور وبيانات المصادقة من حواسيب ويندوز، وتُستخدم كثيرًا في اختبارات الأمن السيبراني وكذلك من قبل القراصنة.
• باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم، تتجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمها المهاجمون للحصول على تحكم سري.