عمال تكنولوجيا المعلومات في كوريا الشمالية في الشركات الغربية يطالبون الآن بفدية مقابل البيانات المسروقة
إن العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، والذين يحصلون على عمل بهويات مزورة في الشركات الغربية، لا يسرقون الملكية الفكرية فحسب، بل إنهم يكثفون أعمالهم أيضاً من خلال المطالبة بفديات حتى لا يسربوها، وهو ما يمثل تطوراً جديداً في هجماتهم ذات الدوافع المالية.
“في بعض الحالات، طالب العمال المحتالون أصحاب العمل السابقين بدفع فدية بعد حصولهم على معلومات داخلية، وهو تكتيك لم يتم ملاحظته في المخططات السابقة،” وحدة مكافحة التهديدات في Secureworks (CTU) قال في تحليل نشر هذا الأسبوع. “في إحدى الحالات، قام أحد المقاولين بتسريب بيانات الملكية على الفور تقريبًا بعد بدء العمل في منتصف عام 2024.”
وأضافت شركة الأمن السيبراني أن هذا النشاط يتشابه مع مجموعة تهديد تتعقبها باسم Nickel Tapestry، والتي تُعرف أيضًا باسم Famous Chollima وUNC5267.
ويشير المخطط الاحتيالي للعاملين في مجال تكنولوجيا المعلومات، والذي تم تنسيقه بهدف تعزيز المصالح الاستراتيجية والمالية لكوريا الشمالية، إلى عملية تهديد داخلية تنطوي على اختراق الشركات في الغرب لتوليد إيرادات غير مشروعة للدولة المتضررة من العقوبات.
وعادة ما يتم إرسال هؤلاء العمال الكوريين الشماليين إلى دول مثل الصين وروسيا، حيث يتظاهرون بأنهم يعملون لحسابهم الخاص ويبحثون عن فرص عمل محتملة. وكخيار آخر، تبين أيضًا أنهم يسرقون هويات الأفراد الشرعيين المقيمين في الولايات المتحدة لتحقيق نفس الأهداف.
ومن المعروف أيضًا أنهم يطلبون إجراء تغييرات على عناوين التسليم لأجهزة الكمبيوتر المحمولة الصادرة عن الشركة، وغالبًا ما يقومون بإعادة توجيهها إلى وسطاء في مزارع أجهزة الكمبيوتر المحمول، الذين يتم تعويضهم عن جهودهم من قبل ميسريين مقرهم في الخارج ويكونون مسؤولين عن تثبيت برامج سطح المكتب البعيد التي تسمح لكوريا الشمالية الجهات الفاعلة للاتصال بأجهزة الكمبيوتر.
والأكثر من ذلك، يمكن أن ينتهي الأمر بتعيين العديد من المقاولين من قبل نفس الشركة، أو بدلاً من ذلك، يمكن أن يتولى فرد واحد عدة شخصيات.
وقالت شركة Secureworks إنها لاحظت أيضًا حالات طلب فيها المقاولون المزيفون إذنًا لاستخدام أجهزة الكمبيوتر المحمولة الشخصية الخاصة بهم، بل وتسببوا في قيام المؤسسات بإلغاء شحنة الكمبيوتر المحمول بالكامل لأنهم غيروا عنوان التسليم أثناء نقلها.
وقالت: “يتماشى هذا السلوك مع أسلوب Nickel Tapestry التجاري المتمثل في محاولة تجنب أجهزة الكمبيوتر المحمولة الخاصة بالشركات، مما قد يلغي الحاجة إلى ميسر من داخل الدولة ويحد من الوصول إلى أدلة الطب الشرعي”. “يسمح هذا التكتيك للمقاولين باستخدام أجهزة الكمبيوتر المحمولة الشخصية الخاصة بهم للوصول عن بعد إلى شبكة المنظمة.”
في إشارة إلى أن الجهات الفاعلة في مجال التهديد تتطور وتنتقل بأنشطتها إلى المستوى التالي، ظهرت أدلة توضح كيف لجأ المقاول الذي تم إنهاء عمله من قبل شركة لم تذكر اسمها بسبب الأداء الضعيف إلى إرسال رسائل بريد إلكتروني ابتزازية تتضمن مرفقات ZIP تحتوي على دليل على السرقة بيانات.
وقال رافي بيلينغ، مدير استخبارات التهديدات في شركة Secureworks CTU، في بيان: “يغير هذا التحول بشكل كبير ملف المخاطر المرتبط بالتوظيف عن غير قصد لعمال تكنولوجيا المعلومات من كوريا الشمالية”. “لم يعودوا يبحثون فقط عن راتب ثابت، بل يبحثون عن مبالغ أعلى، وبسرعة أكبر، من خلال سرقة البيانات والابتزاز، من داخل دفاعات الشركة.”
ولمعالجة هذا التهديد، تم حث المؤسسات على توخي اليقظة أثناء عملية التوظيف، بما في ذلك إجراء عمليات فحص شاملة للهوية، وإجراء مقابلات شخصية أو عبر الفيديو، والحذر من محاولات إعادة توجيه معدات تكنولوجيا المعلومات الخاصة بالشركة المرسلة إلى المقاولين المعلنين. عنوان المنزل، وتوجيه شيكات الرواتب إلى خدمات تحويل الأموال، والوصول إلى شبكة الشركة باستخدام أدوات وصول عن بعد غير مصرح بها.
وقالت شركة Secureworks CTU: “يُظهر هذا التصعيد والسلوكيات المدرجة في تنبيه مكتب التحقيقات الفيدرالي الطبيعة المحسوبة لهذه المخططات”، مشيرةً إلى السلوك المالي المشبوه للعاملين ومحاولاتهم لتجنب تمكين الفيديو أثناء المكالمات.
“إن ظهور طلبات الفدية يمثل خروجًا ملحوظًا عن مخططات Nickel Tapestry السابقة. ومع ذلك، فإن النشاط الذي تمت ملاحظته قبل الابتزاز يتماشى مع المخططات السابقة التي شملت العمال الكوريين الشماليين”.
إرسال التعليق