قالت مجموعة قراصنة كوريا الشمالية إنها استهدفت العديد من شركات التشفير الأمريكية

اخترقت مجموعة قرصنة مدعومة من الحكومة الكورية الشمالية شركة أمريكية لإدارة تكنولوجيا المعلومات واستخدمتها كنقطة انطلاق لاستهداف عدد غير معروف من شركات العملات المشفرة ، وفقًا لمصدرين مطلعين على الأمر.

قالت المصادر إن المتسللين اقتحموا JumpCloud ومقرها لويزفيل بولاية كولورادو في أواخر يونيو واستخدموا وصولهم إلى أنظمة الشركة لاستهداف عملاء شركة العملات المشفرة في محاولة لسرقة النقد الرقمي.

يُظهر الاختراق كيف أن جواسيس الإنترنت الكوريين الشماليين ، بمجرد اقتناعهم بمطاردة شركات التشفير واحدة تلو الأخرى ، يتعاملون الآن مع الشركات التي يمكن أن تمنحهم إمكانية الوصول إلى مصادر متعددة من البيتكوين والعملات الرقمية الأخرى.

لم تجب JumpCloud ، التي اعترفت بالاختراق في منشور مدونة الأسبوع الماضي وألقت باللوم فيه على “ممثل تهديد متطور ترعاه دولة قومية” ، أسئلة رويترز حول من يقف وراء الاختراق على وجه التحديد وأي العملاء تأثروا. لم تتمكن رويترز من التأكد مما إذا كانت أي عملة رقمية قد سُرقت في النهاية نتيجة الاختراق.

أكدت شركة الأمن السيبراني CrowdStrike Holdings ، التي تعمل مع JumpCloud للتحقيق في الاختراق ، أن Labyrinth Chollima – الاسم الذي تطلقه على مجموعة معينة من المتسللين الكوريين الشماليين – كان وراء الاختراق.

رفض آدم مايرز ، نائب رئيس CrowdStrike الأول للاستخبارات ، التعليق على ما كان يسعى إليه المتسللون ، لكنه أشار إلى أن لديهم تاريخًا في استهداف أهداف العملات المشفرة.

وقال: “أحد أهدافهم الأساسية هو تحقيق إيرادات للنظام”.

ولم ترد بعثة بيونغ يانغ لدى الأمم المتحدة في نيويورك على الفور على طلب للتعليق. نفت كوريا الشمالية في السابق تنظيمها لسرقة العملات الرقمية ، على الرغم من الأدلة الضخمة – بما في ذلك تقارير الأمم المتحدة – على عكس ذلك.

دعم بحث مستقل ادعاء CrowdStrike.

قال الباحث في الأمن السيبراني توم هيجل ، الذي لم يكن مشاركًا في التحقيق ، لرويترز إن اقتحام JumpCloud كان الأحدث من بين العديد من الانتهاكات الأخيرة التي أظهرت كيف أصبح الكوريون الشماليون بارعين في “هجمات سلسلة التوريد” ، أو الاختراقات المتقنة التي تعمل من خلال تعريض البرامج أو مزودي الخدمات من أجل سرقة البيانات – أو الأموال – من المستخدمين.

قال هيجل ، الذي يعمل في شركة SentinelOne الأمريكية: “في رأيي ، تصعد كوريا الشمالية من لعبتها”.

في مدونة ستنشر يوم الخميس ، قال هيجل إن المؤشرات الرقمية التي نشرتها JumpCloud ربطت المتسللين بالنشاط المنسوب سابقًا إلى كوريا الشمالية.

وامتنعت وكالة الرقابة الإلكترونية الأمريكية CISA ومكتب التحقيقات الفيدرالي عن التعليق.

ظهر الاختراق على JumpCloud – الذي تُستخدم منتجاته لمساعدة مسؤولي الشبكة في إدارة الأجهزة والخوادم – لأول مرة علنًا في وقت سابق من هذا الشهر عندما أرسلت الشركة بريدًا إلكترونيًا للعملاء لتقول إن بيانات اعتمادهم ستتغير “بسبب الحذر الشديد فيما يتعلق بحادث مستمر”.

في منشور المدونة الذي أقر بأن الحادث كان اختراقًا ، تتبع JumpCloud الاختراق إلى 27 يونيو. نقل البودكاست المحفوف بالمخاطر الذي يركز على الأمن السيبراني في وقت سابق من هذا الأسبوع عن مصدرين قولهما إن كوريا الشمالية كانت مشتبه بها في الاقتحام.

Labyrinth Chollima هي واحدة من أكثر مجموعات القرصنة انتشارًا في كوريا الشمالية ويقال إنها مسؤولة عن بعض أكثر الاختراقات الإلكترونية جرأة وتعطيلًا في الدولة المعزولة. أدت سرقتها للعملات المشفرة إلى خسارة مبالغ طائلة: قالت شركة تحليل بلوكتشين Chainalysis العام الماضي إن المجموعات المرتبطة بكوريا الشمالية سرقت ما يقدر بنحو 1.7 مليار دولار (ما يقرب من 13900 كرور روبية) من النقد الرقمي عبر عمليات اختراق متعددة.

وقال مايرز من CrowdStrike إنه لا ينبغي الاستهانة بفرق القرصنة في بيونغ يانغ.

وقال “لا أعتقد أن هذا هو آخر ما سنراه في هجمات سلسلة التوريد الكورية الشمالية هذا العام”.

© طومسون رويترز 2023

---