كيف تبني كوريا الشمالية ترسانتها النووية

في 19 يناير/كانون الثاني 2024، تلقى عدد من المهندسين العاملين بإحدى المؤسسات النووية في البرازيل عروضًا وظيفية، أُرسلت عبر منصاتهم المهنية المختلفة (مثل لينكد إن، وغيت هب)، تضمنت مرتبات مجزية وفرصًا مهنية متقدمة، فضلا عن كونها مقدمة من قبل شركات عالمية مرموقة، يتعاون بعضها مع جهات حكومية رفيعة المستوى.

كانت العروض مصاغة بعناية؛ درجة احتوائها على التوقيعات الحقيقية لمديري الموارد البشرية العاملين في تلك الشركات، وبدا كلُّ شيء طبيعيا، إلى أن طُلب من المهندسين خوض تقييم مهارات ضمن الخطوات التوظيفية.

لكن الملفات المُرسلة لهذا الغرض لم تكن إلا فخًّا أعدته بإتقان وحدة قرصنة سيبرانية، تُعرف باسم "الكوبرا الخفية" أو "مجموعة لازاروس" (Lazarus Group)، تتبع المكتب الثالث في جهاز الاستطلاع الكوري الشمالي (RGB)، وهو أهم جهاز استخبارات عسكري في البلاد، ويعدّ القوة الرئيسية خلف معظم العمليات السيبرانية الهجومية التي تقوم بها بيونغ يانغ.

وبمجرد استقبالهم هذه الملفات، تم تفعيل عدوى رقمية معقدة، تعتمد على نشر برمجية باب خلفي معياري جديد، يُشار إليها باسم "كوكيز بلس"، قادرة على التخفي في صورة مكوّن إضافي مفتوح المصدر لتطبيقات مألوفة مثل "نوت باد" (++Notepad)، بحيث يصعب رصدها على المُستخدم أو الأنظمة الأمنية العادية، في حين تعمل هذه البرمجية على تنفيذ أوامر المُشغِّل عن بُعد مع سماحها بتنقله بين أجهزة الشبكة المستهدفة، وفق ما كشفه تقرير فريق البحث والتحليل التابع لشركة "كاسبرسكي"، المتخصصة في خدمات الأمن الإلكتروني.

كما ربط تقرير "كاسبرسكي" تلك الهجمات بحملة تجسس إلكتروني طويلة الأمد، يُشرف عليها جهاز الاستطلاع الكوري الشمالي، وتُعرف باسم "عملية وظيفة الأحلام"، نظرًا لأنها تتخذ شكلا من أشكال "الهندسة الاجتماعية" خلال استهدافها العاملين في مختلف المؤسسات، بما فيها قطاعات الدفاع والفضاء والعملات المشفّرة، حيث تبدأ برسائل توظيف وهمية أو الإبلاغ عن تحديثات أمنية مزيفة، لكنها تؤدي في النهاية إلى نشر برمجيات ضارة على أجهزتهم، تمكّن المُشغِّل من الاطلاع على كافة المعلومات المخزنة عليها والتحكم فيها.

علاوة على ذلك، تستهدف الهجمات السيبرانية الكورية الشمالية سلاسل التوريد في أحيان أخرى، حيث تتم مهاجمة المزوِّدين التقنيين لبعض المؤسسات الحيوية، بما يتيح زرع برمجيات خبيثة ضمن البرامج التي تعتمد عليها تلك المؤسسات؛ ويمكّن المُشغِّل من اختراق أنظمتها، مثلما ورد في الحالة المذكورة سلفا.

وقد تم رصد هذه الحملة للمرة الأولى في عام 2019، حين استهدفت الوحدة آنذاك شركات عالمية عدة مرتبطة بقطاع العملات المشفرة، لكن الهجمات الأخيرة تكشف عن توسعها في الوقت الحالي تجاه شركات تكنولوجيا المعلومات والدفاع في أوروبا وأميركا اللاتينية وكوريا الجنوبية، وعلى الأخص، تلك المتعلقة بمجال الطاقة النووية.

دعمًا لقدرات بيونغ يانغ النووية.. بالمال والمعلومات

وبحسب وزارة الخزانة الأميركية، ثمة مجموعتان فرعيتان تعملان تحت "لازاروس"، وتؤديان -بشكلٍ ما- أدوارًا تكاملية في دعم قدرات بيونغ يانغ النووية، وهما: بلونوروف وأندارييل.

تم تشكيل الأولى بغرض تجاوز أثر العقوبات الاقتصادية المفروضة على كوريا الشمالية عبر كسب إيرادات بصورة غير قانونية، ومن ثم استخدامها في تمويل برامج الصواريخ الباليستية لبيونغ يانغ وأسلحتها النووية. ووفقا لذلك، تنشط بلونوروف بالأساس في المهام المتعلقة بالسطو الإلكتروني ضد المؤسسات المالية الأجنبية، وتعدّ واحدة من أنجح المجموعات في شنّ هجمات واسعة النطاق ضد القطاع المالي.

رُصدت بلونوروف للمرة الأولى في عام 2014، حينما تحوّل جزء من جهود بيونغ يانغ السيبرانية نحو تحقيق مكاسب مالية، مع الإبقاء على طبيعة الأنشطة السيبرانية الأخرى المختصة بالحصول على المعلومات العسكرية أو ترهيب الخصوم.

وبحلول عام 2018، تمكّنت المجموعة من تنفيذ العديد من عمليات السطو الإلكتروني الناجحة، استهدفت خلالها 16 مؤسسة في 11 دولة، بما فيها نظام المراسلة "سويفت" وبورصات العملات المشفرة ومؤسسات مالية أجنبية عدة.

ويعدّ هجومها السيبراني على البنك المركزي لبنغلاديش في فبراير/شباط 2016، واحدًا من أكثر أنشطتها شهرة، حيث سرقت بلونوروف قرابة 81 مليون دولار من حساب الاحتياطي الفيدرالي التابع للبنك، وذلك عبر استغلال ثغرات في نظام "سويفت" المستخدم للتحويلات المالية الدولية، وباستخدام برامج ضارة مشابهة لتلك المستخدمة سابقا في هجوم قراصنة كوريا الشمالية على شركة "سوني بيكتشرز"، في حين تربط تقارير صادرة مؤخرًا، بين مجموعة "لازاروس" وعملية اختراق منصة العملات المشفرة "بايبت" (Bybit) في فبراير/شباط الماضي، وأسفرت عن خسارة نحو 1.5 مليار دولار من الأصول الرقمية، مما يجعلها أكبر عملية سرقة للعملات المشفرة في التاريخ.

أما المجموعة الفرعية الثانية "أندارييل"، فينصب تركيزها في المقام الأول على الكيانات الدفاعية والفضائية والنووية والهندسية، بغرض الحصول على معلومات فنية وفكرية سريّة لتعزيز برامج النظام وطموحاته العسكرية والنووية. كما تهتم المجموعة -بدرجة أقل- بقطاعي الصناعات الطبية والطاقة، لكن هذا الاهتمام تحرّكه دوافع مالية في المقام الأول، أي أنه -غالبًا- ليس بغرض الحصول على معلومات.

وتستهدف "أندارييل" بشكلٍ أساسي جارتها كوريا الجنوبية، لأغراض التجسس والوقوف على مستوى التحديثات العسكرية، فضلا عن محاولات التخريب الإلكتروني والتلاعب المعلوماتي الساعية لخلق حالة فوضى، وذلك عبر الوصول سرًّا إلى أنظمة المعلومات وتغيير عناصر بيانات رئيسية دون اكتشافها، بحسب ما يشير إليه تقرير صادر عن الجيش الأميركي في يوليو/تموز 2020.

وتوفر هذه التقنية إمكانيات لا حصر لها، منها على سبيل المثال: القدرة على تغيير بيانات مواقع وحدات الخصم وجنوده أثناء المعركة، بما يجعلهم يعتقدون أنهم في المكان الصحيح بينما هم ليسوا كذلك في الواقع، أو يدفعهم إلى اعتبار وحدات أخرى من جيشهم قوات معادية.

كما يمكن أن يؤدي هذا التلاعب إلى إجبار نظام على أداء وظيفة لم تكن مخصصة له، مثل إنشاء معلومات خاطئة في نظام الاستهداف أو التحكم في المجال الجوي، وتضليل أجهزة التوجيه والاستشعار، وهي عموما تكتيكات تعمل على تخبّط قوات العدو في ساحة المعركة.

جدير بالذكر أن مجموعة "أندارييل" نجحت عام 2016 في اقتحام الحاسوب الشخصي لوزير الدفاع الكوري الجنوبي، كما تمكنت من اختراق الشبكة الداخلية لوزارة الدفاع والحصول على كمّ هائل من البيانات، بلغت نحو 235 غيغابايت داخل نحو 300 وثيقة سرية، تشمل خطط طوارئ سريّة للحرب وضعتها الولايات المتحدة وكوريا الجنوبية بشكل مشترك، حسب التقارير التي أشارت إلى أن إحدى هذه الخطط تضمن اغتيال الزعيم الكوري الشمالي كيم جونغ أون في حال اندلاع حرب في شبه الجزيرة الكورية، وهي الخطة التي يُشار إليها باسم "قطع الرأس".

التحول في النشاط يعكس اهتمامات النظام الكوري

على جانب آخر، فإن تقييم شركة "مانديانت" الأميركية التابعة لغوغل والمتخصصة في مجال الأمن السيبراني، يُعرِّف "أندارييل" على أنها "التهديد المستمر المتقدم رقم 45" (APT-45)، ويشير إلى انخراطها في عمليات التجسس الإلكتروني منذ عام 2009، وهو العام ذاته الذي شهد إنشاء مكتب الاستطلاع العام.

وترى "مانديانت" أن التحولات التي ترافق أنشطة "أندارييل" (من حيث طبيعة الأهداف)، تعكس الأولويات الجيوسياسية المتغيرة للنظام في كوريا الشمالية. فرغم تركيز المجموعة الملحوظ على الوكالات الحكومية وصناعات الدفاع بدءًا من عام 2017، فإن نشاطها فيما تلا ذلك (خلال عام 2019) يتماشى مع اهتمام بيونغ يانغ بالقضايا النووية، بينما رُصد تحولٌ في نشاط المجموعة عام 2024 نحو العمليات ذات الدوافع المالية، بغرض توليد الأموال للإنفاق على أولويات النظام الكوري، وعلى رأسها البرنامج النووي، حيث يعتقد مراقبون من الأمم المتحدة أن عائدات الهجمات الإلكترونية التي يُشتبه أن النظام نفذها بين عامي 2017 و2023، استخدمت في تحسين ترسانته النووية وتوسعتها.

ويختلف أسلوب "أندارييل" عن المُشغلين الكوريين الآخرين في الهجمات ذات الدوافع المالية، حيث تبدي المجموعة اهتماما بإجراء هذه العمليات من خلال برامج الفدية، وذلك عبر تشفير بيانات الأجهزة المستهدفة، ثم ابتزاز الضحايا لدفع مقابل مالي لقاء فكّ التشفير عن أجهزتهم، مثلما جرى في عام 2022، حين استهدفت المجموعة مؤسسات الرعاية الصحية في اليابان والولايات المتحدة عبر برنامج الفدية "ماوي" (Maui)، فيما يُعتقد أن الوحدة حققت بهذا الأسلوب أكثر من 3 مليارات دولار من الأرباح غير المشروعة بين عامي 2017 و2023.

وإجمالا، تشير التقديرات إلى أن "لازاروس" سرقت ما لا يقل عن 3.4 مليارات دولار من العملات المشفرة منذ ظهورها عام 2007، وهو ما يمثل مصدرا مهما لإيرادات النظام في كوريا الشمالية.

وبحسب وكالة الدفاع السيبراني الأميركية، استهدفت "أندارييل" قطاعات الدفاع والفضاء والطاقة النووية والهندسة في بلدان عدة من أوروبا والأميركيتين وآسيا، بينما يشير المركز الأميركي للدراسات الدولية والاستراتيجية إلى أن الوحدة وجّهت جزءا كبيرا من نشاطها ضد الكيانات النووية منذ عام 2019، حيث تمكّنت في ذلك العام من اختراق محطة كودانكولام للطاقة النووية في الهند عبر برمجية خبيثة معروفة باسم "دي تراك" (Dtrack)، قادرة على تسجيل ضغطات المفاتيح ومسح الشبكات المتصلة ومراقبة العمليات النشطة على الحواسيب المصابة، وقد تم العثور على عناصر من البرمجية ذاتها في هجمات ذات صلة بمجموعة "أندارييل".

ويؤكد مايكل بارنهارت، المحلل الرئيسي الذي يقود تحريات "مانديانت" في كوريا الشمالية، أن العديد من التطورات في قدرات بيونغ يانغ العسكرية خلال السنوات الأخيرة، بما فيها تلك المتعلقة ببرنامجها النووي؛ يمكن أن تُعزى بشكلٍ مباشر إلى جهود التجسس الناجحة لمجموعة "أندارييل" ضد الحكومات والمنظمات الدفاعية في جميع أنحاء العالم.

فالوحدة تمكّنت من الحصول على مجموعة من الخطط الحساسة ذات الصلة بالمشروع النووي لكوريا الشمالية، ومن ضمنها معلومات تتعلق بمعالجة اليورانيوم وتخصيبه، وأخرى ترتبط بالمرافق النووية الحكومية ومعاهد البحوث ونفايات المواد وطُرق تخزينها، فضلا عن مخططات لتصاميم الصواريخ وأنظمة الدفاع الصاروخي التي تدعم بشكل مباشر قدرات بيونغ يانغ النووية.

التهور النافع

وفي السياق ذاته، أظهرت التحقيقات الأميركية تورط مجموعة "أندارييل" في اختراق طويل الأمد لوكالة الفضاء الأميركية "ناسا"، تمكّنت خلاله من استخراج ما يزيد عن 17 غيغابايت من بيانات غير مصنفة، تضمنت مكونات برمجية ومعلومات تتعلق بتقنيات الملاحة والتوجيه، وهي أنظمة ترتبط بشكل مباشر بتطبيقات الصواريخ والمركبات الجوية.

ويُرجَّح أن هذه المعطيات أُرسلت مباشرة إلى جهاز الاستخبارات الكوري الشمالي، بغرض دعم جهود تطوير أنظمة أكثر دقة على مستوى الاستهداف الصاروخي.

وبموازاة "لازاروس"، ثمة وحدة قرصنة سيبرانية أخرى تابعة لجهاز الاستطلاع العام تُعرف باسم "كيمسوكي" (APT-43)، ويُعتقد أنها مسؤولة عن عملية اختراق الشبكة الداخلية لمعهد أبحاث الطاقة الذرية في كوريا الجنوبية عام 2021. والمعهد هو منظمة حكومية لإجراء أبحاث حول الطاقة النووية وتكنولوجيا الوقود النووي.

كما يُعتقد أن وحدة "كيمسوكي" كانت وراء عملية اختراق بيانات شركة "كوريا للطاقة المائية والنووية" عام 2014، وهي الشركة المسؤولة عن إدارة 23 مفاعلا نوويا في كوريا الجنوبية. ورغم انعدام ما يؤكد اختراق أنظمة التحكم النووي في الشركة، فإن الهجوم أسفر عن تسريب بيانات تتعلق بتصاميم مفاعلين نوويين على الأقل، فضلا عن مخططات تدفق الكهرباء وتقديرات التعرض للإشعاع بين السكان المحليين.

وفي وقت لاحق، كشفت تقارير إعلامية في كوريا الجنوبية عن نجاح هذه المجموعات في التسلل إلى 83 شركة تصنيع دفاعي في البلاد بين عامي 2022 و2023، والحصول على بيانات سرية من نحو 10 شركات منها.

وتتسم وحدات القرصنة السيبرانية في كوريا الشمالية بنوع من التهور مقارنة بنظرائها في دول مثل روسيا والصين، وفقا لتحليلات "مؤسسة ضمان المعلومات البريطانية" (NCC). ويرتبط ذلك بانعدام خشيتهم من الإقصاء أو المعاقبة، وغياب ما يعيقهم عن أداء مهامهم، نظرًا لأن بلادهم ليست حساسة للضغوط الخارجية، ولا تبدي نية امتثال لأي قواعد مقبولة دوليًّا، على عكس النماذج الصينية أو الروسية التي تُدار -نوعًا ما- بميزان الحذر السياسي.

وأحد أدلة ذلك هو الاختفاء المفاجئ لبعض مجموعات الفدية الروسية، مثل مجموعتي "دارك سايد" و"ريفل" بعد شنهما هجمات برامج فدية تخريبية، بما يمكن اعتباره نوعا من المراجعة وقبول الضغوط الأميركية السي&