في كوريا الشمالية تلك الدولة الجائعة التي يعاني اكثر من 43% من شعبها من سوء التغذية يوجد سلاح نووي و صواريخ عابرة للقارات .. و هذا ليس التناقض الوحيد في هذا البلد ..
حيث يوجد في كوريا الشمالية البلد الاكثر انعزال عن العالم .. و التي لا يسمح لشعبها سوى بمشاهدة التلفزيون من خلال اجهزة استقبال تحوي فقط قنوات رسمية و تخضع هذه الاجهزة للمراقبة الدورية من قبل لجان محلية للحزب الحاكم للتأكد من التزام الشعب بالمسموح مشاهدته .. و التي لا يسمح لشعبها بالوصول الى شبكة انترنت متصلة بالعالم الخارجي* و يسمح له فقط استخدام شبكة انترنت محلية تسمى Kwangmyong تحوي عدد قليل من المواقع و خاضعة لرقابة حكومية شديدة .. في هذا البلد المنعزل يوجد اخطر هكرز (قراصنة انترنت) يهددون شبكة الانترنت العالمية .. تم اختيارهم و تدريبهم و تنظيمهم ليكونوا سلاح سايبر بيد الزعيم الكوري الشمالي الى جانب السلاح النووي و سلاح الصواريخ العابرة للقارات ..
*(الانترنت العالمي في كوريا الشمالية متاح فقط لبضع آلاف الاشخاص من المسؤولين و طلاب النخبة و مجموعات الهكرز) ..
تقارير المخابرات الامريكية حتى عام 2009 كانت تذكر ان قدرات السايبر لكوريا الشمالية و برنامجها للصواريخ البعيدة المدى لا يزال يحتاج لسنوات ليصبح تهديد حقيقي على الامن الامريكي .. اليوم برنامج الصواريخ الكوري الشمالي كما يعلم الجميع انه بلغ مرحلة نضج كبير بصواريخ عابرة للقارات متعددة الرؤوس النووية .. و اصبح التهديد السيبراني الكوري الشمالي يصنف من الاخطر و ينافس الصين و روسيا بدرجة الخطورة كتهديد على الامريكيين حسب تقييماتهم الاخيرة ..و لكن كيف بلغ الكوريين الشماليين هذه الدرجة من التقدم في المجال السيبراني رغم انهم يملكون شبكة انترنت محلية مغلقة غير متصلة بالعالم الخارجي .. و ما هو دور النشاط السيبراني للكوريين الشماليين في صراعات بلدهم .. و ما هي اهداف نشاطهم السيبراني في العالم .. و ما هي اهم العمليات التي نفذوها .. و ما هي المعلومات المتوفرة عن هيكلية تلك المجموعات السيبرانية الكورية الشمالية ..!!؟
تعود بدايات الاهتمام بالانترنت في كوريا الشمالية الى الزعيم الراحل Kim Jong-il (والد كيم الحالي) الذي رغم انه في البداية نظر الى الانترنت الى انها تهديد لسيطرة نظامه على المعلومات .. لكنه اعاد النظر في تلك القناعة في التسعينات بعد عودة عشرات خبراء الكمبيوتر الكوريين الشماليين الذين اوفدوا للدراسة في الخارج و الذين اقترحوا استخدام الانترنت كوسيلة للتجسس على امريكا و كوريا الجنوبية و اليابان و كسلاح لشن هجمات ضدهم .. حسب افادة منشقين كوريين شماليين ..
و بدأت كوريا الشمالية منذ التسعينات اختيار الطلاب المميزين منذ مراحل دراسية مبكرة لتلقي تدريب و تعليم خاص .. و يرسل عدد كبير منهم لدراسة علوم الكمبيوتر في الصين في المراحل الجامعية .. و قد لاحظ قسم مكافحة التجسس التابع لمكتب التحقيقات الفيدرالي الامريكي أن الكوريين الشماليين المعينين للعمل في الأمم المتحدة في تلك الفترة كانوا يسجلون بهدوء في دورات برمجة الكمبيوتر الجامعية في نيويورك ..
و بعد غزو العراق 2003 حذر الزعيم الكوري الشمالي الراحل Kim Jong-il جيشه في احد الخطابات "ان الحرب في القرن الحادي و العشرين ستكون حرب معلومات" .. حسب افادة احد المنشقين البارزين Kim Heung-kwang .. في اشارة للاهمية التي يوليها النظام الكوري الشمالي للانترنت و برمجياتها ..
حتى عام 2009 كان النشاط السيبراني الكوري الشمالي عشوائي و بدائي بدرجة كبيرة .. و كان اكبر انجازاتهم مهاجمة صفحة ويب صغيرة تابعة للبيت الابيض ليدعوا انهم اخترقوا الحكومة الامريكية .. و لكن منذ 2009 بدأ ذلك النشاط يأخذ طابع التنظيم بشكل اكبر .. خاصة بعد توحيد اجهزة المخابرات الخارجية الكورية الشمالية في جهاز واحد سمي مكتب الاستطلاع العام و تولى المكتب 121 التابع له عمليات النشاط السيبراني بدايةً ..
و في شهادة لرئيس استخبارات كوريا الجنوبية ذكر ان الزعيم الكوري الشمالي الحالي Kim Jong-un قال في احد خطاباته "ان قدرات السايبر و الصواريخ و السلاح النووي هي سيف متعدد الاغراض يضمن قدرة الجيش الكوري الشمالي على الضرب بلا هوادة" .. في اشارة للاهمية الكبرى من قبل Kim Jong-un لسلاح السايبر ضمن القدرات الهجومية لكوريا الشمالية ..
بعد عام 2012 قام مكتب الاستطلاع العام بنشر فرق الهكرز في عدة دول حول العالم بغرض اخفاء هوية المنفذين و انتمائهم بشكل رئيسي .. و تركزا خاصةً في الهند و روسيا و الصين و جنوب شرق آسيا و بلاروسيا .. بعد ذلك التاريخ توسعت نشاطات كوريا الشمالية السيبرانية بشكل كبير في مجالات مهاجمة المواقع و الشخصيات الشهيرة التي تسيء لصورة الزعيم الكوري الشمالي Kim Jong-un . بينهم مذيعين كوريين جنوبيين و بريطانين و مواقع كورية جنوبية و عالمية .. و لعل اشهر عملية بدور سياسي نفذتها المجموعات السيبرانية الكورية الشمالية كانت عام 2014 و هي مهاجمة موقع شركة Sony Pictures التي كانت قد انتجت فيلم كوميدي بعنوان The Interview يتناول الزعيم الكوري الشمالي Kim Jong-un (الحالي) و اجبرت هذه العملية شركة Sony Pictures على ايقاف عرض الفيلم حينه .. (العملية لم تكن عملية تهكير سريعة .. بل نفذت على مدى شهور امكنتهم من الاستيلاء على موقع الشركة و التحكم به و الاستيلاء على بيانات الموقع و فروع الشركة و نشر بيانات سرية للشركة و لم يمكن ايقاف الهجوم الكوري الشمالي وقتها ما اجبر الشركة على الرضوخ و ايقاف عرض الفيلم .. حينه) ..
و الدور الاهم المناط بمجموعات الهكر الكورية الشمالية هي السرقة المالية .. و يوكل لكل فريق من مجموعات الهكر الكورية الشمالية هدف مالي عليهم تحقيقه .. و يذكر احد المنشقيين الشماليين مبلغ 100000 دولار كهدف مالي سنوي كان مفروض على فريقه تحقيقه .. و حسب ذلك المنشق يسمح لهم الاحتفاظ بـ 10% مما يحققونه و هو ما يضمن لهم مستوى معيشة عالي مقارنة بما يحصلون عليه في بلادهم .. كما تحظى عائلات العاملين بالمجموعات السيبرانية بمميزات معيشية داخل كوريا الشمالية ...
 |
| النافذة التي ظهرت على الكمبيوترات التي اصيبت بـ هجوم WannaCry ransomware attack |
و لعل اشهر عمليات السرقة المالية التي نفذوها هو الهجوم الفيروسي الواسع الشهير بـ فيروس الفدية او هجوم WannaCrypt عام 2017 و الذي اصاب 230 الف جهاز كمبيوتر حول العالم ببرمجية خبيثة تقوم بتشفير جميع البيانات الموجودة على الكمبيوتر و تظهر رسالة بـ 28 لغة مضمونها بأنه عليك دفع مبلغ 300 دولار مقابل الإفراج عن بياناتك المشفرة !! .. (بعض المواقع تذكر ان هذا الهجوم كان مجرد اختبار لقدرة بيونغ يانغ على تنفيذ هجوم واسع .. و فيروس WannaCry هو مرحلة تحضيرية لفروس اخطر يستخدم وقت الهجوم الواسع .. خاصة ان العائد من تلك العملية لم يتجاوز 70 الف دولار) ..
من اخطر عملياتهم المالية هي سرقات البنوك التي نفذوها ضد بنوك في الفلبين و فيتنام و تركيا .. و لعل اضخم تلك السرقات في عملية واحدة و التي كانت ستؤدي للاستيلاء على مليار دولار من البنك البنغلاديشي لو اكتملت .. و لكن تم كشفها و ايقافها و رغم ذلك نجح الهكرز الكوريين الشماليين بالاستيلاء على 81 مليون دولار من تلك العملية ..
و تفننت مجموعات الهكرز الكورية الشمالية في طرق جمع المال من عملياتهم السيبرانية و من مهاراتهم و خبراتهم البرمجية .. و تنوعت بين تهكير مواقع تجارة على الانترنت و الاستيلاء على ارقام البطاقات البنكية لزبائن تلك المواقع و تهكير برمجيات شبكة الصرافات الالية لبعض البنوك و بين تهكير العاب و بيع حسابات متقدمة داخل تلك الالعاب في مقابل مادي و بين تطوير تطبيقات جوالات و بيعها و غيرها كثير من طرق جمع العملة الصعبة من اجل المشاريع العسكرية و النووية للنظام الكوري الشمالي .. و يقدر رئيس مخابرات بريطاني سابق ما تجنيه كوريا الشمالية من العمليات السيبرانية سنوياً يعادل مليار دولار و هو ثلث قيمة صادراتها حسب ما يذكره في مقالة لنييورك تايمز عام 2017 ..
(بالمناسبة .. لكوريا الشمالية تاريخ في الكسب المالي الغير مشروع .. و اشهرها عملية التزوير المتقنة لفئة 100 دولار الامريكي و الذي بلغ حد اتقانه تبادل البنوك المركزية حول العالم لتلك العملة المزورة دون كشفها .. كان ذلك قبل سنوات و توقفت لاحقاً بسبب كشفها فيما بعد)
و من ضمن اهداف النشاط السيبراني الكوري الشمالي هو سرقة الاسرار الصناعية و العسكرية .. و ربما هذا قد يفسر نجاحهم باستنساخ عدد من الاسلحة مؤخراً خلال وقت قصير و لعل اشهر الاسلحة المستنسخة صواريخ KH-35 الروسية المضادة للسفن التي صنعتها كوريا الشمالية باسم Kumsong-3 و صواريخ MGM-140 ATACMS البالستية الامريكية التي صنعتها باسم KN-24 و غيرها .. و لهم نشاط سيبراني كبير كوريا الجنوبية في هذا المجال خصوصاً .. (من ضمن عملياتهم الاستيلاء عام 2016 على ملف بوربوينت يعرض للخطة الامريكية الكورية الجنوبية في مواجهة كوريا الشمالية و المعروفة بالاسم الرمزي OPLAN 5027 .. و حصولهم على آلاف الوثائق من متعاقدين كوريين جنوبيين تحوي معلومات عن الطائرات دون طيار و مقاتلات F-16 التابعة لسلاح الجو الكوري الجنوبي)
و في مجال عمليات سرقة الاسرار العسكرية و الصناعية نذكر هنا عملية سيبرانية كورية شمالية حدثت شهر اغسطس آب الماضي ضد احدى الشركات الاسرائيلية العسكرية .. حيث قامت احدى المجموعات الكورية الشمالية بانشاء حساب على موقع LinkedIn* باسم احدى مسؤولات التوظيف لدى شركة Boeing و BAE Systems و تم التواصل مع مهندس مهم في الشركة الصناعية العسكرية الاسرائيلية (التي لم يكشف عن اسمها من قبل الاسرائيليين) بغرض تقديم عرض عمل و بأساليب الهندسة الاجتماعية الماكرة تم التواصل معه عدة مرات و ارسال ملف pdf يتضمن البرمجية الخبيثة التي تم ارفاقها بملف مضغوط محمي بكلمة مرور ليمكنه تجاوز البرامج المضادة للفيروسات و بمجرد فتح الملف المضغوط تسللت تلك البرمجية لشبكة كمبيوترات الشركة الاسرائيلية و وصل الهكرز الكوري الشمالي لكمية بيانات كبيرة حسب وصف الاسرائيليين الذين يخشون وصول تلك البيانات لايران حليفة كوريا الشمالية .. (بالمناسبة يوجد تعاون ايراني كوري شمالي مثبت في المجال السيبراني .. حيث استخدم الكوريين الشماليين عام 2012 في مهاجمة 3 بنوك كورية جنوبية نفس الاسلوب الايراني بمهاجمة مواقع شركة ارامكو السعودية 2012 .. الكوريين تفوقوا على الايرانيين و اصبحوا ضمن الاكثر خطورة في المجال السيبراني) ..
*(موقع LinkedIn هو موقع تواصل مهني يستخدمه كثير من الشركات في التوظيف و يسجل فيه كثير من الباحثين عن عمل او تطور وظيفي)
 |
| المكتب121 و المجموعات السيبرانية الكورية الشمالية المرتبطة به |
و يعمل تحت امرة المكتب 121 حسب التقارير الامريكية و تقارير شركات الامن السيبراني عدة مجموعات سيبرانية من مجموعات "التهديد المستمر المتقدم" APT Advanced Persistent Threat .. (شرح هذه التسمية نهاية البوست)** :
- المجموعة لازاروس Lazarus و هي التنظيم الاشهر و الذي ينسب له و لتفرعاته معظم العمليات السيبرانية الخطيرة .. (و تسمى هذه المجموعة Labyrinth Chollima و تسميها مايكروسوفت بـ Zinc) ..
- المجموعة Andarial و تعتبر من مجموعة عمل لازاروس و مهامها استطلاع الشبكات الهدف و تحديد نقاط ضعفها .. (هذه المجموعة تسمى ايضاً Silent Chollima) ..
- المجموعة Bluenoroff و ايضاً تعتبر من مجموعة عمل لازاروس و مهامها تخطيط العمليات ضد البنوك و استطلاع الشبكات الهدف في هذه العمليات و تحديد نقاط ضعفها .. (هذه المجموعة تسمى ايضاً Stardust Chollima) ..
- مجموعات "التهديد المستمر المتقدم" (APT Advanced Persistent Threat) APT38 و APT37 و هي من ضمن مجموعات عمل لازاروس ايضاً .. (و تسمى المجموعة APT37 بالاسم Ricochet Chollima) ..
- المجموعة Kimsuky رغم انها كانت متخصصة في العمليات ضد مواقع الفكر و الدراسات (الكورية الجنوبية خاصة) بغرض جمع المعلومات الاستخبارية عن السياسة الخارجية و قضايا الأمن المتعلقة بشبه الجزيرة الكورية و العقوبات على كوريا الشمالية ..
(تتنوع تسميات هذه المجموعات و تختلف تقسيمات مهامها في كثير من مواقع الامن السيبراني .. و ذكرنا التسميات الاكثر تداول و المتكررة و المتقاطعة على المستوى الرسمي) ..
و يرفد هذه المجموعات السيبرانية بالعناصر البشرية كلية Mirim و التي تسمى ايضاً كلية بيونغ يانغ للأتمتة التي تتولى تقديم التعليم الاكاديمي للطلبة و تقدم لهم التدريب الفني خلال فترة الدراسة .. و تخرج هذه الكلية حسب التقارير الامريكية على الاقل 100 طالب سنوياً ينضمون للمجموعات السيبرانية الكورية الشمالية .. و تتهم امريكا كل من الصين و روسيا و حتى الهند بتقديم تعليم اكاديمي عالي المستوى يساعد المجموعات السيبرانية الكورية الشمالية على تنفيذ عملياتها "الغير مشروعة" حسب وصفها .. بالاضافة لاتهامات تسهيل الاقامة و غسيل الاموال ..
 |
| نظام التشغيل الكوري الشمالي Red Star OS و برنامج مكافحة الفيروسات الكوري الشمالي SiliVaccine |
الغريب ان كوريا الشمالية ترفض الاتهامات الامريكية بكل تلك العمليات و تذكر ان مواطنيها من ذوي الاختصاصات المعلوماتية المقيمين في الخارج انما هم يقومون بتسويق نظام التشغيل الكوري الشمالي Red Star OS و تسويق برنامج مكافحة الفيروسات الكوري الشمالي SiliVaccine .. !!
(نظام التشغيل الكوري الشمالي Red Star OS -و يوجد منه 4 نسخ- انما هو توزيعة محلية من نظام تشغيل Linux و هي حسب خبراء ألمان مبنية بشكل يسمح بمراقبة مواطني كوريا الشمالية من مستخدمي شبكة الانترنت المحلية Kwangmyong .. و برنامج مكافحة الفيروسات الكوري الشمالي SiliVaccine حسب خبراء برمجيات الفيروسات انما هو نسخة من برنامج مكافحة الفيروسات الياباني Trend Micro) ..
بغض النظر عن مشروعية اعمال المجموعات السيبرانية الكورية الشمالية من عدمها .. ما يلفت انهم نجحوا بالوصول لمستوى من قدرة العمل السيبراني مكنتهم من الحصول على اسرار صناعية و عسكرية و سياسية من كوريا الجنوبية و اسرائيل و غيرها .. و بالتأكيد هذه القدرة مسخرة ايضاً داخلياً لمزيد من الرقابة حتى على شبكة انترنت محلية غير متصلة بالعالم ..
و هنا لابد -جداً- من الاشارة الى الانظمة العربية و اهتمامها الرئيسي في المجال السيبراني هو ضد شعوبها بالمراقبة و التضييق و التجسس على معارضي هذه الانظمة .. و طبعاً ببرمجيات مستوردة من الغرب و الشرق و من اسرائيل .. (الى جانب الاهتمام بالدفاع ضد الهجمات السيبرانية لدى بعض الدول الخليجية خاصة) .. بينما نجد دول بدائية الاساس مثل كوريا الشمالية وصلت لمستوى عالي جداً من قدرة العمل السيبراني الهجومي رغم التضييق عليها حتى في التعليم الاكاديمي في مجال المعلوماتية ..
و دون المقارنة باسرائيل التي تملك مستوى سيبراني يصنف ضمن مستوى الصين و روسيا و امريكا .. و لا ننسى ايران في منطقتنا التي تملك قدرات عالية في الهجمات السيبرانية -تلي كوريا الشمالية بالخطورة- و المميز بالايرانيين انهم يتعلمون من الهجمات عليهم و يتطورون و يعملون بشكل دائم ..
** النشاط السيبراني الذي يصنف كـ "تهديد مستمر متقدم" : هو الهجوم السيبراني الذي يستخدم أساليب اختراق متواصلة وخفيّة ومعقدة للوصول إلى نظام كمبيوتر لهدف ثمين (شركات كبرى او نظام بنية تحتية لدول او ..) والبقاء فيه لفترة زمنية طويلة ما قد يؤدي إلى تداعيات مدمرة .. و قد يستخدم فيه المهاجمين عدة طرق للوصول لقلب النظام .. منها استغلال لاحدى الثغرات الامنية للنظام او من خلال عملاء محليين يزرعون البرمجية الخبيثة مباشرة في النظام .. او من خلال اساليب الهندسة الاجتماعية بشكل مباشر ضد مستخدمي نظام الكمبيوتر الهدف (الشركة الكبرى كمثال) لزرع برمجياتهم الخبيثة .. او يستخدم فيه المهاجمين موقع احدى الشركات الصغيرة الموردة للشركة الكبرى بغرض الوصول لنظام الكمبيوتر في الشركة الكبرى الهدف (يعني قرصنة شركة صغيرة موردة للشركة الكبيرة و ارسال ايميل روتيني مرفق فيه البرمجية الخبيثة بحيث لا يلفت النظر ابداً) .. و بعد الوصول لقلب النظام يتم العمل على السيطرة على اكبر جزء من النظام و الوصول للبيانات المخزنة فيه .. و يبقى المهاجمين داخل النظام لفترة طويلة من الزمن (اسابيع و شهور على الاقل) يحققون فيها هدفهم سواء سرقة بيانات او فهم آلية عمل النظام بغرض تخريبه او تدميره حتى .. (كمثال على سرقة البيانات الهجوم على شركة Sony Pictures و كمثال على تدمير النظام هجوم Stuxnet السيبراني على ايران الذي دمر اجهزة الطرد المركزي التي تستعمل في تخصيب اليورانيوم) ..
إرسال تعليق