تعرضت مجموعة “كيمسوكي” الكورية الشمالية، وهي واحدة من أبرز وحدات التجسس الرقمي التابعة للمكتب العام للاستطلاع في كوريا الشمالية، لعملية اختراق كبرى أدت إلى تسريب حوالي 8.9 غيغابايت من البيانات السرية والأدوات التقنية الخاصة بها. هذا التسريب، الذي نُشر خلال مؤتمر “ديف كون” للقراصنة في لاس فيغاس، يُعد من أكبر الكشوفات عن عمليات مجموعة قرصنة ترعاها دولة في التاريخ الحديث.
تفاصيل العملية وهوية المنفذين
نفذ عملية الاختراق قراصنة يُعرفان باسمي “سابر” و”سايبورغ”، اللذان أعلنا أن دوافعهما أخلاقية بحتة. أكد الثنائي في تقرير نُشر بمجلة “فراك” الأسطورية للأمن السيبراني أنهما تمكنا من اختراق محطة عمل افتراضية وخادم خاص افتراضي لعضو في مجموعة “كيمسوكي” يُطلقان عليه اسم “كيم”.
وجه القراصنة انتقادات حادة لمجموعة “كيمسوكي”، قائلين في رسالة مرفقة مع التسريب: “كيمسوكي، أنت لست قراصناً حقيقياً. أنت مدفوع بالجشع المالي لإثراء قادتك وتنفيذ أجندتهم السياسية. أنت تسرق من الآخرين وتفضل مصالحك الشخصية. أنت منحرف أخلاقياً وتمارس القرصنة لجميع الأسباب الخاطئة”.
محتويات التسريب المثيرة
كشفت البيانات المسربة، التي نُشرت عبر منظمة “ديدوسيكريتس” غير الربحية، عن تفاصيل صادمة حول أساليب عمل المجموعة. تضمنت التسريبات سجلات لهجمات تصيد إلكتروني ضد قيادة مكافحة التجسس الدفاعي في كوريا الجنوبية، بما في ذلك عناوين بريد إلكتروني متعددة من نطاق dcc.mil.kr.
كما احتوت البيانات على أرشيف مضغوط يحتوي على الكود المصدري الكامل لمنصة البريد الإلكتروني الخاصة بوزارة الخارجية الكورية الجنوبية، المعروفة باسم “كيبي”، بما يشمل وحدات البريد الإلكتروني والإدارة والأرشفة. هذا التسريب يكشف عن عمق اختراق المجموعة للبنية التحتية الحكومية الكورية الجنوبية.
الأدوات والتقنيات المكشوفة
أظهرت التسريبات ترسانة متطورة من الأدوات التقنية تستخدمها “كيمسوكي”، منها برامج خلفية مخصصة على مستوى النواة لخادم “تومكات”، وأداة خاصة من “كوبالت سترايك”، ونسخة معدلة من أندرويد تُسمى “تويبوكس”. كما تضمنت مولد مواقع التصيد الإلكتروني “جينيريتور” المصمم لإخفاء سرقة بيانات الاعتماد وراء صفحات خطأ مشروعة على نطاقات موثوقة.
تضمنت البيانات أيضاً كلمات مرور لخوادم افتراضية خاصة وشهادات مسروقة لبنية المفاتيح العامة الحكومية في كوريا الجنوبية، إضافة إلى برنامج جافا مخصص لكسر كلمات مرور مفاتيح هذه البنية. وثقت التسريبات أيضاً خوادم التتابع التشغيلية للمجموعة، وهي خوادم وسيطة تشبه الشبكات الافتراضية الخاصة ومتمركزة بشكل أساسي في الصين وهونغ كونغ.
الروابط مع المؤسسات الكورية الشمالية الرسمية
تؤكد التحليلات الأمنية أن “كيمسوكي” تابعة للمكتب العام للاستطلاع، وهو جهاز الاستخبارات الخارجية الأساسي لكوريا الشمالية. المجموعة، التي تُعرف أيضاً بأسماء APT43 و”ثاليوم” و”السليت الزمردي”، تعمل منذ عام 2012 على الأقل وتتخصص في عمليات جمع المعلومات الاستخباراتية المرتبطة بمصالح النظام الكوري الشمالي الجيوسياسية.
تشمل أهداف المجموعة مراكز البحوث والمؤسسات الأكاديمية والوكالات الحكومية ووسائل الإعلام في كوريا الجنوبية والولايات المتحدة واليابان وأوروبا. تركز عملياتها بشكل خاص على القضايا المتعلقة بالسياسة الخارجية والأمن القومي في شبه الجزيرة الكورية والسياسة النووية والعقوبات الدولية.
تطور التكتيكات والأهداف
استخدمت “كيمسوكي” على مر السنين تقنيات متطورة في التصيد الإلكتروني، مستهدفة ضحايا محددين من خلال انتحال هوية خبراء وصحفيين معروفين. تتضمن أساليب المجموعة إرسال رسائل بريد إلكتروني تبدو مشروعة تحتوي على مرفقات أو روابط خبيثة، والتي عند النقر عليها تثبت برامج ضارة على أجهزة الضحايا.
في أحدث تطوراتها، رُصدت المجموعة وهي تستخدم تقنية “كليك فيكس” للهندسة الاجتماعية، حيث تستخدم رسائل خطأ مزيفة لحث الضحايا على تنفيذ أوامر ضارة باستخدام “باورشيل”. كما تستخدم المجموعة أدوات مثل “راندوم كويري” و”إكس آر إيه تي” و”جولد دراجون” لاختراق الأنظمة وسرقة البيانات الحساسة.
عمليات بارزة وتأثيرها الإقليمي
من أبرز العمليات المنسوبة لـ”كيمسوكي” الهجوم على شركة كوريا للطاقة المائية والنووية في ديسمبر 2014، والذي أدى إلى تسريب معلومات شخصية لعشرة آلاف موظف ومخططات المفاعلات وأدلة التشغيل. استخدمت المجموعة حساباً على تويتر لنشر الوثائق المسروقة وهددت بتسريب المزيد ما لم يتم إغلاق مفاعلات محددة بحلول عيد الميلاد.
في عام 2020، حاولت المجموعة اختراق 11 مسؤولاً في مجلس الأمن الدولي التابع للأمم المتحدة. كما رُصدت المجموعة في مايو 2021 داخل الشبكات الداخلية لمعهد كوريا لأبحاث الطاقة الذرية. مؤخراً، استهدفت “كيمسوكي” التدريبات العسكرية المشتركة بين كوريا الجنوبية والولايات المتحدة من خلال هجمات إلكترونية على المتعاقدين المشاركين في مركز محاكاة الحرب.
التداعيات والاستجابة الدولية
فرضت كوريا الجنوبية في يونيو 2023 عقوبات أحادية على مجموعة “كيمسوكي”، مما يمثل أول عقوبات من نوعها ضد مجموعة قرصنة كورية شمالية. كما فرضت الولايات المتحدة عقوبات على المجموعة في نوفمبر 2023، واصفة إياها بأنها تابعة للمكتب العام للاستطلاع وتدعم طموحات كوريا الشمالية الاستراتيجية والنووية.
أصدرت وكالات أمريكية وكورية جنوبية تحذيراً مشتركاً يفصل تقنيات القرصنة التي تستخدمها المجموعة ويوصي باتخاذ إجراءات استباقية ضد الأنشطة المشبوهة لمنع الأضرار المحتملة.
تمويل العمليات من خلال الجريمة الإلكترونية
تتميز “كيمسوكي” عن مجموعات التجسس التقليدية بدمجها بين أنشطة التجسس وعمليات الجريمة الإلكترونية لتمويل عملياتها. تستهدف المجموعة شركات العملات المشفرة وتستخدم الأرباح المسروقة لدعم مهامها الاستخباراتية الأساسية. تشمل هذه الأنشطة سرقة وغسيل العملات الرقمية، والتي تُعتبر جزءاً من استراتيجية أوسع لتمويل برنامج الأسلحة النووية الكوري الشمالي.
الخلاصة والتوقعات المستقبلية
يُعد هذا التسريب ضربة كبيرة لعمليات “كيمسوكي”، حيث يكشف عن بنيتها التحتية وأساليب عملها وأدواتها التقنية، مما يجبرها على إعادة بناء قدراتها من الصفر في بعض الحالات. رغم أن التسريب قد لا يوقف المجموعة نهائياً نظراً لدعم الدولة الكوري الشمالي لها، إلا أنه سيؤدي حتماً إلى تعطيل عملياتها الجارية وإجبارها على تطوير أدوات وتقنيات جديدة. يمثل هذا الحدث نقطة تحول مهمة في فهم المجتمع الدولي لقدرات الحرب السيبرانية الكورية الشمالية وأساليبها، مما قد يؤدي إلى تطوير دفاعات أكثر فعالية ضد هذه التهديدات المستمرة.
