حملة برامج الفدية تستهدف البنية التحتية المالية في كوريا الجنوبية: الجهات الفاعلة الروسية والكورية الشمالية وراء اختراق بيانات بحجم 2 تيرابايت

شهد المشهد الأمني في كوريا الجنوبية تحولًا حادًا للأسوأ مع قيام مجرمين إلكترونيين منسقين يتعاونون مع جهات على مستوى الدولة بشن موجة غير مسبوقة من الهجمات على القطاع المالي في البلاد. بين سبتمبر وأكتوبر 2024، سقطت أكثر من 40 جهة مالية ومصرفية ضحية لما يطلق عليه الباحثون الأمنيون الآن حملة منسقة بقيادة Qilin، وهي عملية فدية كخدمة (RaaS) تعمل بالتنسيق مع جهات إلكترونية كورية شمالية تعرف باسم Moonstone Sleet.

حجم الهجوم: من ضعف سلسلة التوريد إلى الاختراق الجماعي

كشف تقرير التهديدات الصادر عن شركة الأمن السيبراني Bitdefender في أكتوبر 2024 صورة مروعة: قام المهاجمون باختراق مزودي خدمات إدارة (MSPs) الذين يخدمون المؤسسات المالية في كوريا الجنوبية، مستخدمين نقطة دخول واحدة لنشر البرمجيات الخبيثة عبر شبكات عملائهم بأكملها. وكانت النتيجة مذهلة—حيث تم تتبع 33 حادثًا منفصلًا طوال عام 2024، مع 25 منها في سبتمبر فقط، مما يمثل ارتفاعًا بمقدار اثني عشر ضعفًا مقارنة بالمعدلات الشهرية.

امتد نطاق العمليات إلى ما هو أبعد من الابتزاز البسيط. حيث استولى المهاجمون على حوالي 2 تيرابايت من البيانات الحساسة جدًا، بما في ذلك مستندات تحتوي على معلومات عسكرية، وتوقعات اقتصادية، ومخططات للبنى التحتية لمشاريع حيوية مثل مرافق الغاز الطبيعي المسال وشبكات الجسور. ووفقًا لتحليل Bitdefender، تم سرقة أكثر من مليون ملف عبر ثلاث موجات مميزة، مع محاولة المهاجمين تبرير أنشطتهم على أنها حملات لمكافحة الفساد لتبرير عمليات تسريب البيانات العامة.

نموذج تشغيل Qilin والتداعيات الجيوسياسية

تعمل Qilin وفق إطار عمل فدية كخدمة، حيث تستعين بمشغلين تابعين لها لتنفيذ الهجمات مع الحفاظ على السيطرة المركزية على البنية التحتية واستراتيجية الابتزاز. الأصول الروسية للمجموعة موثقة جيدًا: حيث يعمل الأعضاء المؤسسون ضمن منتديات إلكترونية روسية، وتجنب المنظمة بشكل صريح استهداف كيانات دول رابطة الدول المستقلة — وهو سمة مميزة للبنية التحتية الإجرامية المرتبطة بالدولة.

ما يميز هذه الحملة هو مشاركة جهات كورية شمالية. مشاركة Moonstone Sleet تشير إلى مهمة جمع معلومات تتداخل مع دافع الربح من عمليات الفدية التقليدية. وتشير المعلومات إلى أن البيانات المسروقة كانت تُعد لقيادة كوريا الشمالية، مما يدل على تجسس جيوسياسي يتجاوز الابتزاز المالي البسيط.

الجدول الزمني: كيف انهارت القطاع المالي في كوريا

المرحلة الأولى (14 سبتمبر 2024): كشفت موجة الاختراق الأولى عن سجلات حساسة لعشر شركات إدارة مالية، مما أدى إلى تنبيهات فورية في مجتمع الأمن.

المرحلة الثانية (17-19 سبتمبر 2024): أضافت عملية تسريب ثانية 18 ضحية إضافية إلى موقع التسريب، مع إصدار المهاجمين تهديدات لتعطيل سوق الأسهم الكوري من خلال عمليات إصدار بيانات منسقة.

المرحلة الثالثة (28 سبتمبر - 4 أكتوبر 2024): تم إصدار البيانات المتبقية في الدفعة الأخيرة. ثم تم حذف أربع منشورات من موقع التسريب — مما يشير على الأرجح إلى دفع فدية من قبل الكيانات المستهدفة.

وكشفت حادثة ملحوظة عن مدى الانتشار: حيث تم اختراق أكثر من 20 مدير أصول عبر ثغرة في سلسلة التوريد لدى مزود الخدمة GJTec، وفقًا لتقرير صحيفة JoongAng Daily الكورية في 23 سبتمبر 2024.

السياق العالمي: وضع كوريا الجنوبية الحساس

صنفت شركة Bitdefender كوريا الجنوبية كثاني أكثر الدول تضررًا من برامج الفدية في عام 2024، بعد الولايات المتحدة فقط. يعكس هذا التميز مدى تطور المهاجمين والثغرات في البنية التحتية للأمن السيبراني في كوريا الجنوبية — لا سيما الاعتماد على مزودي خدمات إدارة مركزيين لإدارة تكنولوجيا المعلومات عبر الشبكات المالية.

بحلول أكتوبر 2024، كانت Qilin وحدها قد استهدفت أكثر من 180 ضحية حول العالم، وهو ما يمثل حوالي 29% من جميع حوادث برامج الفدية العالمية وفقًا لتقييمات استخبارات التهديدات من NCC Group.

التداعيات على منظومات العملات الرقمية والتكنولوجيا المالية

يشكل الاختراق خطرًا مباشرًا على بورصات العملات الرقمية والمنصات المالية التكنولوجية التي تعمل في السوق الكورية أو تتداول معه. قد تُمكن البيانات المالية المسروقة من شن هجمات هندسة اجتماعية، أو استغلال بيانات الاعتماد، أو استهداف البنية التحتية للعملات الرقمية بالفدية. بالإضافة إلى ذلك، فإن زعزعة استقرار المؤسسات المالية التقليدية يقوض الثقة في النظام المالي بشكل عام، مما قد يؤدي إلى هروب رؤوس الأموال نحو الأصول الرقمية أو بعيدًا عنها.

التدابير الدفاعية: ما يجب أن تنفذه المؤسسات الكورية الآن

يوصي الباحثون الأمنيون باتباع استراتيجية دفاع متعددة الطبقات:

تقوية سلسلة التوريد: تنفيذ بروتوكولات تدقيق صارمة لجميع مزودي الخدمات المُدارة، بما في ذلك اختبار الاختراق وهياكل الشبكة ذات الثقة الصفرية التي تقيد الحركة الأفقية حتى لو تم اختراق مزود الخدمة.

التحكم في الوصول: تطبيق المصادقة متعددة العوامل عبر جميع الأنظمة المالية وتقسيم الشبكات لاحتواء الاختراقات. لو كانت المؤسسات الكورية قد نفذت تقسيم شبكي دقيق، لكان من الممكن تقليل استنزاف 2 تيرابايت من البيانات بشكل كبير.

مراقبة التهديدات: إنشاء مراقبة على مدار الساعة لمؤشرات مرتبطة بـ Qilin والجهات المدعومة من الدولة، بما في ذلك الشذوذ السلوكي النموذجي لعمليات RaaS.

تدريب الموظفين: إجراء برامج توعية أمنية مستمرة تركز على الوقاية من التصيد الاحتيالي، حيث يعتمد الوصول الأولي غالبًا على الهندسة الاجتماعية المستهدفة للموظفين في مقدمي الخدمات الموثوق بهم.

الخلاصة: دعوة للاستيقاظ للمؤسسات المالية عالميًا

تُظهر حملة برامج الفدية في كوريا الجنوبية أن الجهات ذات الصلة بالدولة والمجرمين الإلكترونيين يعملون الآن ضمن أنظمة بيئية منسقة، مما يطمس الحدود التقليدية للتهديدات. بالنسبة لأصحاب العمل في مجال العملات الرقمية والتكنولوجيا المالية، تؤكد هذه الحادثة على ثغرة حرجة: البنية التحتية المالية التي تعتمد عليها الأسواق الرقمية لا تزال معرضة لمهاجمين متطورين وذوي موارد كبيرة. يجب على المؤسسات أن تعطي الأولوية لأمن سلسلة التوريد، وتطبيق استراتيجيات الدفاع العميق، والاستعداد لبروتوكولات الاستجابة للحوادث قبل أن تضرب الموجة التالية. فالفرصة للدفاع الاستباقي تتضاءل مع استمرار Qilin وشركائها المرتبطين بالدولة في عملياتهم حتى عام 2025.