صحفي مجلة فوربس: على الرغم من علمي بأن قراصنة كوريا الشمالية متفشون، إلا أنني وقعت في الفخ

بن وايس، مجلة فورتشن

الترجمة：لُفّي، موقع فيورسايت نيوز

في أواخر مارس، وصلتني رسالة مقلقة من مدير قسم تقنية المعلومات في مجلة فورتشن. «هناك عملية تقوم بكشف ثغرة في النظام،» كتب أنه قد يكون أحدهم قد اخترق جهاز الكمبيوتر الخاص بي. «أحتاج إلى إيقافها.» في لحظة، أصبت بالهلع.

تبيّن من السجلات التي راجعها قسم تقنية المعلومات لاحقًا أنه في ذلك الصباح، في الساعة 11:04، قمت بتنزيل ملف يمتلك القدرة على تسجيل ضغطات لوحة المفاتيح، وتسجيل الشاشة، وسرقة كلمات المرور، والولوج إلى مختلف تطبيقاتي.

أغلقت الكمبيوتر المحمول فورًا، واندفعت من شقة في بروكلين إلى أقرب محطة مترو. وفي الطريق إلى العمل حيث كنت أنتظر المترو، أرسلت رسالة إلى المحرر: «يبدو أنني وقعت في فخ تصيّد من قِبل قراصنة كوريين شماليين، لا أصدق.»

كنت أُغطي الأخبار المتعلقة بكوريا الشمالية منذ مدة، وأعرف أن هذا البلد يستهدف المستثمرين الأمريكيين تحديدًا. لكن ما لم أتوقعه أبدًا هو أن هذه المجموعة سيئة السمعة من قراصنة الإنترنت ستستهدفني أنا أيضًا، بل وأن أجرب شخصيًا مدى براعة أساليبهم في الخداع.

يبدو الأمر كأنه احتيال

فمنذ سنوات، ظل «مملكة العُزّل» هذه يداوم على مضايقة قطاع العملات المشفرة بشكل مستمر. وبسبب العقوبات، تم إقصاء كوريا الشمالية عن النظام المالي العالمي، ولذلك تحتاج إلى الاعتماد على سرقات العملات المشفرة المدعومة من الدولة لكي تستمر في العمل.

تُظهر بيانات شركة تحليل البيانات الخاصة بالعملات المشفرة Chainalysis أنه خلال عام 2025 وحده، سرق القراصنة المرتبطون بكوريا الشمالية عملات مشفرة بقيمة 2 مليار دولار، بزيادة تقارب 50% مقارنةً بالسنة السابقة.

لقد طوّرت كوريا الشمالية بالفعل مجموعة من أساليب تمويه مفعّلة دائمًا، تشمل إقناع الشركات بتوظيفهم كموظفي تقنية معلومات، وهذه المرة استخدموا أسلوبًا مشابهًا لخداعي.

بدأ القراصنة الكوريون الشماليون في نصب الفخ في منتصف مارس. كان الطُعم عبارة عن رسالة عبر Telegram من مستثمر في صندوق تحوّطي. وهذا التطبيق يُعد أيضًا أكثر أدوات المراسلة استخدامًا في قطاع العملات المشفرة. لا أستطيع الكشف عن اسم المستثمر؛ فقد كان مصدرًا مجهولًا تبيّن أنه من الذين أشرتُ إليهم في تقاريري.

سألني عما إذا كنت أرغب في التعرف إلى شخص اسمه آدم سويك Adam Swick، وقد كان مسؤولًا استراتيجيًا أول في شركة تعدين البيتكوين MARA Holdings. قلت له إن ذلك ممكن. فهو كان دائمًا ودودًا وموثوقًا، وبعد ذلك تمت إضافتي إلى محادثة جماعية.

قال إن Swick كان يستعد لإنشاء «صندوق رقمي لأصول رقمية جديدة»، «ويبدو أنه يوجد بالفعل مستثمر بذرة كبير محتمل واحد». بدا المشروع مليئًا بالشكوك، لكنني قررت مع ذلك أن أستمع إلى ما سيقوله.

طلب مني إجراء مكالمة على Telegram. بعد أسبوع، أرسل لي هذا المصدر رابطًا يبدو مثل رابط اجتماع Zoom. ضغطت عليه.

كانت واجهة البرنامج التي انفتحت أمامي شبيهة جدًا بواجهة Zoom التي أستخدمها يوميًا، لكن تفاصيل التصميم كانت غير صحيحة قليلًا، كما أن الصوت كان معدومًا تمامًا. ظهرت لي رسالة النظام تفيد بأنني بحاجة إلى تحديث البرنامج لإصلاح مشكلة الصوت، وفي الوقت نفسه أرسل Swick رسالة: «يبدو أن Zoom عندك به مشكلة.» نقرت على تنزيل حزمة التحديث.

حين اكتشفت أن الرابط داخل المتصفح لا يتطابق مع الرابط الذي أرسله Telegram، انتابني تنبّهٌ فوري. اقترحت تغيير الاجتماع إلى Google Meet. «هذا يجعلني أشعر أنه احتيال،» قلت في المجموعة إلى Swick وإلى ذلك المصدر.

كان Swick يصرّ على ذلك: «لا تقلق، لقد جربته للتو على جهاز الكمبيوتر الخاص بي ولم توجد مشكلة.»

لم أقم بتشغيل ذلك البرنامج النصي على جهاز Mac، وغادرت اجتماع Zoom فورًا. «إن كنت تريد الدردشة فليكن عبر Google Meet.» رددت على Telegram. وما إن تلقّى أمري حتى قام المصدر بطردي من محادثة المجموعة.

اختراق متسلسل على طريقة البرمجيات الخبيثة

اندفعت إلى قسم تقنية المعلومات أثناء ذهابي من شقتي، وأرسلت رسالة إلى الباحثة الأمنية المخضرمة Taylor Monahan. وهي عضوة في منظمة SEAL 911، وهي مجموعة من المتطوعين تساعد ضحايا سرقة العملات المشفرة. أرسلت إليها البرنامج النصي الذي حملته ورابط اجتماع الفيديو.

«هذا من عمل قراصنة كوريين شماليين.» ردت عليّ بعد ثوانٍ قليلة.

لو كنت قد شغّلت ذلك البرنامج النصي في ذلك الوقت، لكان القراصنة قد سرقوا كلمات المرور وحساب Telegram وجميع العملات المشفرة التي أملكها. لحسن الحظ، لم تكن لدي إلا كمية صغيرة من البيتكوين وبعض الأصول المشفرة الأخرى.

تحدد سمات الهجوم السيبراني عادةً صعوبة تحديد الجهة الفاعلة من وراء الكواليس بنسبة 100%، لكن في حادثة كادت تمسني هذه المرة، أخبرتني Monahan أن الروابط والبرنامج النصي وحتى حساب Swick المزيف—كل القرائن تشير إلى كوريا الشمالية. سيقوم المحققون بربط الحادث بكوريا الشمالية بالاعتماد على أدلة متعددة مثل تحليل السلسلة الكتلية. كما أكّد باحثان أمنيان آخران كانا يتابعان القراصنة الكوريين الشماليين منذ وقت طويل هذا الاستنتاج بعد أن أرسلت إليهما البرنامج النصي والرابط.

«قل له التحية نيابةً عني، هاها.» قالت Monahan، في إشارة إلى القراصنة الكوريين الشماليين الذين استهدفوني.

كانت Monahan وباحثون أمنيون آخرون قد تعاملوا بالفعل مع مئات حالات تصيّد اجتماعات الفيديو الزائفة داخل قطاع العملات المشفرة. إن هذا الأسلوب قائم على قوالب نمطية، لكنه فعّال جدًا.

سيقوم القراصنة أولًا بالاستيلاء على حساب Telegram لمستخدم حقيقي، ثم يتواصلون مع الأشخاص الموجودين في قائمة جهات الاتصال الخاصة به. يُطلب من الضحية الانضمام إلى اجتماع فيديو، لكن الصوت في المكالمة لا يعمل على الإطلاق في كل مرة. ثم يتم إغراء الضحية لتشغيل برنامج تحديث «إصلاح الصوت». بمجرد تشغيل البرنامج النصي، يمكن للقراصنة الحصول على الأصول المشفرة وكلمات المرور وحساب Telegram الخاص بالضحية.

وبالفعل، ذكرت دراسة صادرة عن Google يوم الأربعاء أنها كانت تتعرض—ضمن مجموعة القراصنة الكوريين الشماليين الذين يستهدفونني أنا—للتخطيط لهجوم يستهدف أيضًا مطوري البرامج عمومًا.

أنا لست أغنى شخص يملك بيتكوين فيراري، لكن Monahan أخبرتني أن القراصنة الكوريين الشماليين لا يستهدفون فقط الأثرياء. فقد وجدت أن عددًا متزايدًا من الصحفيين العاملين في قطاع العملات المشفرة أصبحوا أهدافًا، على الأرجح لأن لدى الصحفيين على Telegram شبكات واسعة. فمن المرجح أن يخفي كثير من هؤلاء المخاطبين بعض أغنى أغنياء العملات المشفرة.

وكما يهاجم فيروس الخلايا السليمة، فإن القراصنة يستولون على هذه الحسابات ثم يهاجمون جهات الاتصال داخل الحسابات. وهذا بالضبط ما كاد يحدث لي. كنت أظن أنني أتحدث مع معارف، لذلك خففت حذري.

«أنا المزيف»

بعد أن قمت بتنسيق جهاز الكمبيوتر بالكامل، وتغيير جميع كلمات المرور، وشكر مدير تقنية المعلومات مرارًا وتكرارًا، اتصلت في النهاية بالجهة المصدر. كما كان متوقعًا، كان حساب Telegram الخاص به قد تم اختراقه منذ أوائل مارس.

«لدي في Telegram الكثير من جهات الاتصال، لكن لم يتم حفظها في الهاتف ولا في الكمبيوتر،» قال. «لكن ما يؤلمني أكثر هو أن هناك من يتقمّصني، ويستخدم هويتي لخداع الناس—إن شعور الانتهاك هذا سيئ للغاية.»

وعلى الرغم من أنه تواصل عبر Telegram عدة مرات خلال ثلاث أسابيع طلبًا للمساعدة، فإنه لم يحصل قط على رد. قالت لي متحدثة باسم Telegram في بيان: «على الرغم من أن Telegram ستبذل كل ما في وسعها لحماية الحسابات، فإن أي منصة لا يمكنها منع المستخدمين من أن يُخدعوا.» وأضافت أنه بعد أن تواصلت معهم، قام النظام بتجميد حساب مستثمر الصندوق التحوّطي هذا.

كما تواصلت مع آدم سويك الحقيقي. منذ أوائل فبراير، كان هناك من ينتحل اسمه على Telegram. وقد تلقّى هذا المسؤول السابق في MARA عددًا لا يحصى من الرسائل والمكالمات، وكان الناس يسألونه لماذا طلب عقد اجتماع. في كل مرة لم يستطع سوى الاعتذار.

«لكن بعض الناس يأتون ويسألونني، «يا أخي، عما تعتذر؟»» قال Swick. «فليس لي سوى أن أقول: «لا أعرف، اعتذر عن النسخة المزيفة مني… حقًا آسف لأن هذا حدث.»»

لم يكن Swick يعرف لماذا قام القراصنة بالانتحال باسمه، ولم يكن مصدرِي يعرف أيضًا كيف تم اختراق Telegram الخاص به. لكن قبيل انتهاء المكالمة مباشرة، توصلنا الاثنان فجأة إلى إجابة محتملة.

ضمن آخر جهة تواصلت قبل اختراق Telegram لهذا المستثمر، كان هناك بالفعل شخص ينتحل صفة Swick. «لقد أجريت معه اجتماع Zoom، لكن الصوت لم يكن متصلًا من جهته،» قال مصدرِي. «أتذكر بشكل مبهم أنني نزّلت شيئًا ما في ذلك الوقت.»

بعبارة أخرى، فمن المحتمل جدًا أن مصدرِي كان هو الآخر مستهدفًا من نفس المجموعة من القراصنة. وبعد أن أدركنا أن جهازه ربما كان أيضًا مصابًا، أغلقت المكالمة فورًا من قبل مستثمر الصندوق التحوّطي، ونسّق جهاز الكمبيوتر الخاص به.

أرسلت على Telegram رسالة إلى آدم سويك المزيف: «هل هذا الحساب يتحكم به قراصنة كوريا الشمالية؟»

حتى الآن، لم أتلقَّ أي رد.