قراصنة روس وكوريون شماليون يسرقون 2 تيرابايت من البيانات من بنوك كورية جنوبية

أكدت شركة الأمن السيبراني Bitdefender أن القطاع المالي في كوريا الجنوبية تعرض لهجوم منسق على سلسلة التوريد مرتبط بجهات تهديد روسية وكورية شمالية، مما أدى إلى نشر برنامج الفدية Qilin وسرقة بيانات حساسة.

عند تجميع البحث لتقرير Threat Debrief الخاص بشهر أكتوبر، قالت شركة Bitdefender إنها بدأت التحقيق في الحملة بعد ملاحظة زيادة غير عادية فيdentبرامج الفدية في كوريا الجنوبية في سبتمبر. 

وسجلت البلاد 25 هجوما في ذلك الشهر، وهو فارق كبير عن المتوسط ​​الشهري الذي بلغ حالتين فقط تم تسجيلهما بين سبتمبر/أيلول 2024 وأغسطس/آب من هذا العام. 

كوريا الجنوبية مستهدفة بهجمات الفدية تشيلين

بحسب تقرير الذي نُشر يوم الاثنين الماضي، أصبحت كوريا الجنوبية ثاني أكثر الدول تضرراً من برامج الفدية هذا العام، بعد الولايات المتحدة فقط. وقد رصدت الشركة المتخصصة في أمن البرمجيات حوالي 33 حالة،dent25 منها إلى مجموعة برامج الفدية Qilin، و24 من الجهات المخترقة كانت ضمن القطاع المالي. 

وجاء في التقرير: "جمعت هذه العملية بين قدرات مجموعة رئيسية من برامج الفدية كخدمة (RaaS)، وهي Qilin، مع تورط محتمل من جهات تابعة للدولة الكورية الشمالية (Moonstone Sleet)، مستغلة اختراق مزود الخدمة المدارة (MSP) كناقل وصول أولي".

تُعدّ مجموعة تشيلين من أنشط مجموعات برامج الفدية هذا العام، حيث تعمل وفق نموذج برامج الفدية كخدمة، وقد أوقعت أكثر من 180 ضحية في أكتوبر وحده. ووفقًا لمعلومات استخبارات التهديدات الصادرة عن مجموعة NCC، تُعدّ هذه العملية مسؤولة عن 29% من جميع هجمات برامج الفدية عالميًا.

على الرغم من أن اسم المجموعة مستوحى من مخلوق أسطوري صيني، تعتقد بت ديفيندر أن تشيلين روسية الأصل. وقد كشف تحقيقها أن أحد أعضائها المؤسسين، "بيانليان"، يتواصل بالروسية والإنجليزية، وينشط بشكل كبير في منتديات الجرائم الإلكترونية الناطقة بالروسية. 

وتتجنب المجموعة أيضًا مهاجمة المنظمات في رابطة الدول المستقلةdent وهي قاعدة شائعة بين عمليات برامج الفدية المتمركزة في روسيا.

تُجنّد مجموعة تشيلين قراصنة لتنفيذ هجماتها، بينما يحصل مُشغّلوها الأساسيون على حصة من الأرباح غير المشروعة. كما تفتخر المجموعة بامتلاكها "فريقًا داخليًا من الصحفيين" لمساعدة الشركات التابعة لها في صياغة رسائل ومنشورات ابتزازية لمنصة تسريب البيانات الخاصة بها.

وبحسب تحليل شركة Bitdefender بشأن حملة Korean Leaks، تظاهر المتسللون بأنهم "ناشطون" و"وطنيون" باستخدام لغة سياسية لإنتاج رسائل ذات طابع دعائي، واستهدفوا الصناعة المالية في البلاد بأكملها. 

في إحدى الحالات التي وقعت في 20 أغسطس/آب، والتي شملت شركة إنشاءات، حذّر المهاجمون من أن البيانات المسروقة تحمل "قيمة استخباراتية عسكرية". وزعمت الرسالة أن مخططات ورسومات مئات المشاريع المنجزة، بما في ذلك الجسور وخزانات الغاز الطبيعي المسال، أصبحت الآن متاحة للعامة. 

وجاء في إحدى المناقشات المسربة في منتديات كيلين: "يجري بالفعل إعداد تقرير عما تم العثور عليه في هذه الوثائق للرفيق كيم جونغ أون"، مما يشير إلى أن المتسللين كانوا يشاركون المعلومات مع المجموعة في كوريا الشمالية .

شركة Qilin تسرق بيانات تصل إلى 2 تيرابايت في ثلاث موجات

وفقًا لشركة بت ديفيندر، جرت عملية التسريبات الكورية على ثلاث موجات، أسفرت عن سرقة أكثر من مليون ملف و2 تيرابايت من البيانات من 28 ضحية معروفة. وحُذفت لاحقًا منشورات مرتبطة بأربع جهات إضافية من موقع تسريب البيانات، وقد يكون ذلك نتيجة دفع فدية أو قرارات داخلية من قِبل المشغلين.

صدرت الموجة الأولى في 14 سبتمبر/أيلول، وشملت 10 ضحايا من قطاع الإدارة المالية. تلتها الموجة الثانية بين 17 و19 سبتمبر/أيلول، لتضيف تسع حالات أخرى، بينما صدرت الموجة الثالثة بين 28 سبتمبر/أيلول و4 أكتوبر/تشرين الأول، مستهدفةً تسع منظمات أخرى. 

لدينا بيانات عن عشرات الشركات. التسريب الكوري سببٌ لسحب الأموال من سوق الأسهم الكورية، لأننا نمتلك كمًّا هائلًا من البيانات defiنشرها ضررًا بالغًا بالسوق الكورية بأكملها. وسنفعل ذلك defi، هذا ما جاء في أحد تهديدات القراصنة خلال الموجة الثانية.

وقالت شركة بت ديفيندر إن المهاجمين صاغوا الحملة على أنها محاولة لكشف الفساد، بما في ذلك التهديدات بنشر وثائق يمكن أن تكون "دليلاً على التلاعب بسوق الأوراق المالية" وأسماء "سياسيين ورجال أعمال معروفين في كوريا".

في 23 سبتمبر، ذكرت صحيفة الأخبار الكورية "جونغ آنغ ديلي" أن أكثر من 20 شركة لإدارة الأصول أصيبت بفيروس الفدية بعد اختراق مزود الخدمة المسمى GJTec.