وجهت الاتهام إلى مجموعة «لازاروس» الكورية الشمالية

الولايات المتحدة تنشر عريضة «أكبر هجوم إلكتروني»

المتهم يحمل اسم بارك جين هيوك وهو مبرمج كوري شمالي يبلغ من العمر 34 عاماً. من المصدر

نشرت وزارة العدل الأميركية أخيراً، عريضة الاتهام في التحقيقات الجارية منذ أكثر من عامين في الهجوم الإلكتروني الكوري الشمالي الذي شنته عصابة غامضة تحمل اسم «لازاروس».

وجاءت العريضة في 179 صفحة تتضمن تفاصيل ما وصفته بـ«أكبر هجوم إلكتروني شهدته الأرض» حتى الآن، بدأ التحضير له في عام 2014 ونفذ خلال عامي 2016 و2017 ومستمر للآن. واستند الهجوم إلى رسائل البريد الإلكتروني الاحتيالية المنسقة والمعقدة، كوسيلة لاصطياد الضحايا، والحصول على ثغرات للتسلل وشن الهجمات، واستهدف مرافق الكهرباء ومقاولي الدفاع والجهات الأكاديمية في الولايات المتحدة، فضلاً عن شركة «سوني» اليابانية وبنك بنغلاديش.

وقد ظهرت عريضة الاتهام رسمياً صباح السادس من سبتمبر الجاري، ونشرت شركة «زد دي نت» المتخصصة في تقنية المعلومات نسخة كاملة منها في الثامن من سبتمبر، وتضمنت العريضة مجموعة واسعة من عناوين البريد الإلكتروني المستخدمة لتسجيل أسماء النطاقات، وشراء خدمات الاستضافة المستخدمة في الهجوم، كما تضمنت العناوين الرقمية «آي بي» المستخدمة في الوصول إلى أجهزة الكمبيوتر الخادمة المستخدمة في شن الهجمات، والتحكم فيها، والمسؤول عن إصدار الأوامر، وكذلك حسابات التواصل الاجتماعي، وأجهزة الكمبيوتر الخادمة التي تم السيطرة عليها، وتسخيرها في استضافة ونشر البرامج الضارة المستخدمة في الهجمات.

متهم واحد

وعلى الرغم من التفاصيل الكثيرة والمذهلة الواردة بها، فإنها لم تحدد سوى شخصية مواطن كوري شمالي واحد على نحو قاطع، ووجهت له اتهامات رسمية بالضلوع في تخطيط وتنفيذ هذا الهجوم الضخم عبر مراحله المختلفة.

وذكرت العريضة أن المتهم يحمل اسم بارك جين هيوك، وهو مبرمج كوري شمالي يبلغ من العمر 34 عاماً، وكان عضواً نشطاً في فريق القرصنة الذي ترعاه الحكومة والمعروف في قطاع الأمن الإلكتروني الخاص باسم «مجموعة لازاروس». وظاهرياً، فقد عمل هيوك موظفاً حكومياً لحساب شركة مملوكة للحكومة تُدعى «تشوسون إكسبو» التي تأسست كشركة مشتركة بين حكومتي كوريا الجنوبية وكوريا الشمالية، وكان المقصود بها أن تكون موقعاً للتجارة الإلكترونية واليانصيب، وانسحب المسؤولون الكوريون الجنوبيون من الصفقة، واستمرت حكومة كوريا الشمالية في إدارة الشركة من خلال مختلف الأفراد، متفرعة في خدمات مختلفة على الإنترنت مثل الألعاب عبر الإنترنت، وأصبح لديها مكتب في الصين، وفي النهاية أصبحت الشركة كياناً أمامياً لـ«مختبر 110»، وهو أحد مكونات جهاز الاستخبارات العسكرية في كوريا الشمالية.

وتم إرسال هيوك للعمل سنوات عدة في المكتب الصيني للشركة في مدينة داليان، إذ عمل تحت ستار «مطور ألعاب على الإنترنت»، بالعديد من لغات البرمجة، مثل «جافا» و«جي اس بي»، و«بي إتش بي»، و«فلاش»، و«سي فيجوال بلس بلس» التي كتب بها معظم البرامج التي استخدمتها «لازاروس» في هجماتها، وعاد إلى كوريا الشمالية في عام 2014، قبل فترة وجيزة من بدء الهجمات.

التحضير للهجوم

كشف مكتب التحقيقات الفيدرالي في تقريره المقدم لوزارة العدل أن التحضير للهجوم بدأ في مطلع 2014، حينما قامت المجموعة بأبحاث مهمة من خلال عمليات الاستطلاع عبر الإنترنت، استخدمت فيها الأبحاث المتعلقة بالشركة أو الجهة الضحية، والأفراد العاملين فيها، ثم استخدمت نتائج هذا الاستطلاع من قبل المتسللين لإعداد رسائل التصيد التي يطلق عليها «رسائل الرمح»، أو «رأس الحربة» التي يتم إرسالها عن طريق البريد الإلكتروني أو وسائل الإعلام الاجتماعية للأشخاص المنتمين إلى تلك الكيانات للوقوع في حبائلها، ومن ثم استخدامهم كثغرة يتم من خلالها شن الهجوم.

وخلال فترة التحضير أرسل المهاجمون رسائل تتظاهر بأنها رسائل بريد من «فيس بوك» و«غوغل»، وفي حالات أخرى، أنشأ المخترقون حسابات بريد إلكتروني مزيفة بأسماء مجنّدين أو موظفين رفيعي المستوى في شركة واحدة، ثم استخدموا الحسابات لإرسال رسائل توظيف وهمية لموظفي الشركات المنافسة.

في الأشهر التي سبقت الهجوم الصريح، أُرسل العديد من حسابات وسائل الإعلام الاجتماعية أو نُشرت روابط من شأنها توجيه أجهزة كمبيوتر الضحايا إلى ملف خبيث، كجزء من المخطط لمهاجمة شبكات الحاسبات الخاصة بالجهة الضحية، وترجح التحقيقات أنه خلال هذه الفترة، تمكن المهاجمون من الإيقاع ببعض موظفي «سوني»، ومن ثم تمكنوا من الوصول إلى شبكة الشركة في سبتمبر 2014.

ولم يكن التصيّد الاحتيالي عبر البريد الإلكتروني الطريقة الوحيدة التي حاولت المجموعة من خلالها الوصول إلى أنظمة أجهزة الكمبيوتر، إذ حاول المتسللون، في موجة أخرى من الهجوم، استخدام أسلوب يطلق عليه «الثقب المائي»، الذي ظهر في الهجمة التي تعرض لها موقع هيئة الإشراف المالي البولندي.

عمليات اختراق

شنت المجموعة في نوفمبر 2014 هجومها على شركة «سوني»، رداً على فيلم «المقابلة»، وهو فيلم كوميدي يصور اغتيال زعيم كوريا الشمالية، وتمكن المتسللون من الوصول إلى شبكة الشركة، وسرقة البيانات السرية وهددوا الموظفين التنفيذيين والموظفين، كما حولوا الآلاف من أجهزة الكمبيوتر إلى أجهزة غير صالحة للعمل.

وفي فبراير 2016 شنت المجموعة هجوماً كاسحاً ناجحاً على بنك بنغلاديش المركزي وسرقت 81 مليون دولار، في عملية اعتبرت أكبر سرقة إلكترونية من مؤسسة مالية على مستوى البنوك المركزية، ونفذت الهجمة على البنك باستخدام بعض الحسابات نفسها في مجال التصيد الاحتيالي والاستهداف، واستخدمت برمجيات خبيثة تشترك في أوجه تشابه مع تلك المستخدمة في الهجمات على «سوني».

وخلال عامي 2016 و2017 وقعت موجات أخرى من الهجوم، استهدفت اختراق مقاولي الدفاع الأميركيين، وجامعة أميركية، وشركات طاقة أميركية، ومواقع تبادل عملات رقمية. وكانت شركة لوكهيد مارتن للدفاع هي الصيد الثمين، إلا أن العريضة لم توضح إلى أي مدى كانت هذه المحاولات ناجحة، وما الأضرار التي ترتبت عليها.

موجات هجوم واختراق

كشفت عريضة الاتهام أن الهجوم الكوري الشمالي جرى تنفيذه عبر سلسلة متتالية من موجات التسلل والاختراق والتدمير وسرقة البيانات، وشملت هذه الموجات:

- تنفيذ أكبر عملية اختراق وتدمير لبيانات ونظم شركة «سوني بيكتشر» اليابانية للألعاب في 2014.

- هجمة واسعة النطاق ضد المسارح ودور السينما الأميركية في 204.

- سرقة البنك المركزي البنغالي عام 2016.

- شن هجمة تسلل واختراق ضد شركة الدفاع الأميركية لوكهيد مارتن في عام 2016.

- نشر فيروس الفدية الخطير والضار الذي عرف باسم «وانا كراي» على نطاق واسع وبصورة وبائية عالمياً عام 2017.

- سلسلة من الهجمات على البنوك في العالم بصورة متتالية من عام 2015 حتى عام 2018.

- سلسلة اختراقات مؤثرة وضارة لمنظمات ووسائل إعلام إخبارية كورية جنوبية وبنوك منذ 2015 إلى 2018.