عملية لازاروس.. كيف كادت كوريا الشمالية تنفذ عملية قرصنة بلغت قيمتها مليار دولار؟ | مركز سمت للدراسات

عملية لازاروس.. كيف كادت كوريا الشمالية تنفذ عملية قرصنة بلغت قيمتها مليار دولار؟

التاريخ والوقت : الخميس, 15 يوليو 2021

في عام 2016 خطط قراصنة من كوريا الشمالية لعملية اختراق لبنك بنغلاديش الوطني، بلغت قيمتها مليار دولار، وكانوا على بُعد شبر واحد من النجاح؛ فقد توقفت العملية بعد تحويل 81 مليون دولار فقط. فكيف تمكنت واحدة من أفقر دول العالم وأكثرها عزلة من تدريب فريق من نخبة مجرمي الإنترنت؟

بدأ الأمر بتعطل طابعة مركزية في غرفة محصنة في الطابق العاشر من مبنى بنك بنغلاديش الوطني. كانت هذه الطابعة مسؤولة عن طباعة بيانات التحويلات لملايين من الدولارات التي تتدفق من وإلى البلاد التي يعاني سكانها الفقر الشديد. اعتقد الجميع أنه مجرد عطل فني آخر.

ولكن توقف الطابعة كان أول مؤشر على المتاعب التي سيعانيها البنك؛ فقد اخترق متسللون شبكة الكمبيوتر الخاصة به، وفي تلك اللحظة كانوا يقومون بتحويل مليار دولار إلى حسابات وهمية وجمعيات خيرية وكازينوهات وشبكة واسعة من المتواطئين.

ولكن من هم هؤلاء القراصنة؟ ومن أين يعملون؟

وفقاً للمحققين، فإن البصمات الإلكترونية كلها تشير باتجاه واحد: حكومة كوريا الشمالية.

ربما يكون ذلك مفاجئاً للكثيرين؛ ولكن مكتب التحقيقات الفيدرالي الأمريكي يقول إن هذا الاختراق الجريء جاء نتيجة سنوات من الإعداد والتنسيق، قام بها فريق من المتسللين في جميع أنحاء آسيا، بدعمٍ من الحكومة الكورية الشمالية. ويُعرف المتسللون الكوريون باسم مجموعة “لازاروس”. وعلى الرغم من قلة المعلومات المتوفرة حول هذه المجموعة؛ فإن مكتب التحقيق الفيدرالي قد تمكن من تحديد مشتبه به هو بارك جين هيوك.

تخرج مبرمج الكمبيوتر هيوك في أفضل جامعات البلاد، ثم ذهب للعمل في شركة كورية شمالية في الصين؛ حيث صنع برامج ألعاب ومقامرة لزبائن في مختلف أنحاء العالم. كشف مكتب التحقيقات، من خلال بصماته الإلكترونية، أنه انتقل إلى العاصمة الكورية الشمالية عام 2014، ونشر المكتب صورة له مأخوذة من بريده الإلكتروني عام 2011 وهو يرتدي قميصاً أسود وبدلة بنية.

في يونيو 2018 اتهمت السلطات الأمريكية هيوك بالتآمر لارتكاب الاحتيال عبر الإنترنت وجرائم معلوماتية أخرى تصل عقوبتها إلى السجن لمدة عشرين عاماً في حال تم القبض عليه؛ ولكنه عاد من الصين إلى كوريا الشمالية قبل أربع سنوات من توجيه الاتهامات إليه. ولكن هيوك، إذا كان هذا هو اسمه الحقيقي، لم يصبح مخترقاً يعمل لصالح الدولة بين عشية وضحاها، بل هو واحد من الآلاف من الأطفال الكوريين الذين تمت تنشئتهم وتدريبهم ليل نهار ليصبحوا محاربين على الإنترنت.

عندما أعاد موظفو البنك الطابعة إلى العمل اكتشفوا أن بنك الاحتياطي الفيدرالي في نيويورك -حيث تحتفظ بنغلاديش بحساب بالدولار الأمريكي- قد تلقى تعليمات باستنزاف الحساب بالكامل (ما يقارب المليار دولار). بدأ الاختراق يوم الخميس 4 فبراير في الساعة الثامنة مساء بتوقيت بنغلاديش؛ ولكن كان ذلك في صباح الخميس بتوقيت نيويورك، مما أعطى بنك الاحتياطي الفيدرالي متسعاً من الوقت (عن غير قصد)؛ لينفذ رغبة المتسللين بينما كانت بنغلاديش نائمة.

كان اليوم التالي، الجمعة، بداية عطلة نهاية الأسبوع في بنغلاديش، وعندما اكتشف البنغلاديشيون السرقة كانت عطلة نهاية الأسبوع في نيويورك قد بدأت يوم السبت. واستخدم المتسللون حيلة أخرى لكسب الوقت؛ فبمجرد تحويل الأموال إلى بنك الاحتياطي الفيدرالي كانوا بحاجة إلى تحويلها إلى مكان ما، لذلك قاموا بتحويلها إلى حسابات أنشأوها في الفلبين. وكان يوم الإثنين 8 فبراير يصادف اليوم الأول من السنة القمرية؛ وهو عطلة رسمية في جميع أنحاء آسيا. وبذلك كسب المتسللون خمسة أيام لتنفيذ مهمتهم.

أظهرت التحقيقات أن مجموعة لازاروس كانت كامنة داخل أنظمة كمبيوترات البنك منذ أكثر من عام. ففي يناير 2015 وصل بريد إلكتروني إلى العديد من موظفي البنك من شخص اسمه راسل أحلام، يطلب وظيفة في البنك، ويدعوهم إلى تنزيل سيرته الذاتية المرفقة. انطلت الخدعة على أحد موظفي البنك، وقام بتنزيل المستند الذي أوصل الفيروس إلى الكمبيوتر الخاص به، وسرعان ما شق هذا الفيروس طريقه إلى كمبيوترات البنك، وصولاً إلى الخزائن الرقمية، ومليارات الدولارات الموجودة فيها.

ثم توقف كل شيء؛ فقد كان المتسللون بحاجة إلى بعض الوقت من أجل ترتيب طرق تهريب الأموال عند تحويلها.

قام أربعة أشخاص بفتح حسابات في بنك “RCBC”؛ وهو أحد أكبر البنوك في الفلبين باستخدام وثائق مزورة، وبقيت هذه الحسابات خاملة لعدة أشهر باستثناء عملية الإيداع الأولى بقيمة 500 دولار في كل منها، بينما كان المتسللون يعملون على جوانب أخرى من الخطة.

كانت العقبة الأخيرة أمامهم تتمثل في الطابعة في الطابق العاشر من مبنى بنك بنغلاديش الوطني. كانت الطابعة تهدد بكشف تحويلاتهم على الفور؛ لذلك قاموا باختراق البرنامج الذي يتحكم في عملها وتعطيلها. وبعد تغطية مساراتهم بدأ المتسللون عند الساعة 8:36 من مساء الخميس، 4 فبراير 2016، بإجراء 35 عملية تحويل يبلغ إجمالي قيمتها 951 مليون دولار، هي تقريباً كل ما كان في حساب البنك. كان اللصوص على موعد مع هذه المليارات؛ ولكن كما في أفلام هوليوود، تم اكتشافهم بسبب أحد التفاصيل الصغيرة.

عندما اكتشف بنك بنغلاديش الأموال المفقودة، اتصل محافظ البنك بخبير الأمن السيبراني المقيم في الولايات المتحدة راكيش أستانا، وطلب المساعدة من شركته “وورلد إنفورماتيكس”. وأخفى خبر الاختراق عن حكومته؛ لأنه كان يعتقد أنه يمكنه استرجاع الأموال؛ ولكن عندما اكتشف أستانا مدى عمق الاختراق، وأنه وصل إلى جزء رئيسي بأنظمة بنك بنغلاديش يعرف بـ”swift”؛ وهو النظام الذي تستخدمه بنوك العالم لتنسيق التحويلات المالية، أصبح واضحاً أنه لم يعد ممكناً التراجع عن المعاملات؛ فالمخترقون لم يستغلوا ثغرة أمنية في swift، بل ظهروا وكأنهم موظفون أصليون في بنك بنغلاديش الوطني.

كانت الأموال قد وصلت بالفعل إلى الفلبين؛ حيث أخبرتهم السلطات أنهم بحاجة إلى أمر من المحكمة للبدء في عملية استرجاعها. ومع وصول الأمر إلى المحكمة انتشر خبر العملية في مختلف أرجاء العالم.

عندما علمت عضوة لجنة الكونغرس للخدمات المالية كارولين مالوني، بالخبر، اتصلت ببنك الاحتياط الفيدرالي؛ لتستوضح كيف تمت مثل هذه العملية، وأخبرها الموظفون أن معظم التحويلات قد تم إيقافها مصادفة بفضل بعض التفاصيل الصغيرة.

كان فرع بنك “RCBC” الذي اختار المتسللون نقل الأموال إليه، يقع في شارع جوبيتر في مانيلا، وقد كلفهم اختيارهم هذا مئات الملايين من الدولارات. قالت مالوني: “تم تعليق التحويلات في بنك الاحتياطي الفيدرالي؛ لأن عنوان الفرع المستخدم لاستلامها كان يضم كلمة (جوبيتر)، وهو أيضاً اسم سفينة شحن إيرانية خاضعة للعقوبات”.

كان مجرد ذكر كلمة “جوبيتر” كافياً لإيقاف التحويلات من أجل مراجعتها؛ ولكن ليس كلها، فقد مرت خمس عمليات قيمتها 101 مليون دولار؛ بما فيها عشرون مليوناً تم تحويلها إلى مؤسسة “شاليكا” الخيرية السريلانكية التي أعدها المتسللون لتكون واحدة من قنوات تمرير الأموال المسروقة؛ ولكن خطأً في كتابة اسم المؤسسة دفع موظفي البنك إلى إلغاء العملية. وبذلك نجح المتسللون في تمرير 81 مليون دولار فقط؛ ولكن هذا المبلغ كان ضربة كبيرة لدولة يعيش خُمس سكانها تحت خط الفقر.

وبينما كان بنك بنغلاديش يبدأ جهوده لاستعادة الأموال، كان المتسللون يقومون بخطوات تضمن إبقاءها بعيداً عن متناول يده؛ فقاموا بتحويل هذه الأموال إلى حساباتٍ مختلفة وإرسالها إلى شركات الصرافة واستبدال عملات محلية بها، وإيداعها مجدداً في البنوك، وسحب بعضها نقداً. ولكن كل ذلك لم يكن كافياً لإخفاء أثر الأموال؛ وكان يجب إخراجها من النظام المصرفي.

قام المتسللون بتحويل 50 مليون دولار إلى كازينو سولير وكازينو ميداس في مانيلا، بينما تم دفع 31 مليون دولار لرجل صيني يُدعى تشو ويكانغ، يعتقد أنه غادر المدينة على متن طائرة خاصة قبل أن يختفي.

كانت فكرة استخدام الكازينوهات بمثابة كسر لسلسلة التتبع؛ فبمجرد تحويل الأموال المسروقة إلى رقائق بلاستيكية على طاولات المقامرة يصبح من المستحيل على المحققين تتبعها. وقد حجز اللصوص غرفاً خاصة في الكازينو وملأوها بالمتواطئين معهم؛ مما أعطاهم سيطرة على عمليات المقامرة التي استغرقت بضعة أسابيع من المكوث في كازينوهات مانيلا لغسل هذه الأموال.

في غضون ذلك، كان بنك بنغلاديش يحاول تدارك الأمر، ووصل مسؤولون فيه إلى مانيلا لتتبع أثر الأموال؛ ولكن عندما وصلوا إلى الكازينوهات كانوا أمام جدار صلب. فقد تم استخدام الأموال من قِبل مقامرين شرعيين لهم كامل الحق في تبذيرها على طاولات القمار. في نهاية المطاف، تمكن مسؤولو البنك من استعادة 16 مليون دولار من الشخص الذي نظم حلقات القمار في كازينو ميداس، بينما كانت بقية الأموال -34 مليون دولار- تتسرب نحو محطتها التالية التي تقربها من كوريا الشمالية، وفقاً للمحققين.

ماكاو هي جيب في الصين يشبه هونغ كونغ في وضعه الدستوري، وتعتبر بؤرة للمقامرة، ومركزاً للكازينوهات الفخمة. وفيها تم القبض على مسؤولين كوريين شماليين وهم يقومون بتبييض أموال مزورة بإتقان بالغ من فئة 100 دولار تُعرف بـ”سوبر دولار” التي تزعم السلطات الأمريكية أنها طبعت في كوريا الشمالية. وتم وضع البنك المحلي الذي استخدموه لتبييض هذه الأموال على قائمة العقوبات الأمريكية؛ بسبب صلاته بنظام بيونغ يانغ.

تمكن المحققون من ربط الأموال التي تم غسيلها في الفلبين بماكاو؛ من خلال تتبع منظمي مجموعات القمار والشركات التي حجزت غرف المقامرة الخاصة التي يقع مقر اثنتين منها في ماكاو. يعتقد المحققون أن معظم الأموال المسروقة قد وصلت إلى ماكاو قبل نقلها إلى كوريا الشمالية.

تصنف كوريا الشمالية من بين أفقر 12 دولة في العالم؛ حيث تقل حصة الفرد فيها من الناتج المحلي الإجمالي عن نظيرتها في سيراليون وأفغانستان. ومع ذلك، تمكنت كوريا الشمالية من إنتاج بعض من أكثر المتسللين وقاحة وتطوراً على مستوى العالم. ولا بد لفهم كيف ولماذا تمكنت كوريا من إنشاء هذه الوحدات المتطورة من جنود الحرب الإلكترونية، لا بد من النظر في عائلة كيم التي حكمت البلاد منذ تأسيسها كدولةٍ حديثة عام 1948 على يد المؤسس كين إيل-سونغ تحت اسمها الرسمي، جمهورية كوريا الشعبية الديمقراطية.

وقد وصف الشاب كيم، الذي تولى السلطة عام 2011 في كوريا الشمالية، الأسلحة النووية بأنها سيف عزيز؛ ولكنه كان بحاجة إلى وسيلة لتمويلها بعد اشتداد الحصار الأمريكي على بلاده. وتقول السلطات الأمريكية إن القرصنة كانت أحد الحلول. ولكن السماح لمواطنيها بالاتصال الحر بالإنترنت سوف يمكنهم من رؤية العالم خارج حدودهم، والاطلاع على الحقائق التي تتعارض مع الرواية الحكومية الرسمية.

لذلك، فمن أجل تدريب محاربيه الإلكترونيين، يقوم النظام بإرسال مبرمجي الكمبيوتر الموهوبين إلى الخارج -غالباً إلى الصين- وهنالك يتعلمون كيف يستخدم العالم الكمبيوتر والإنترنت للتسوق والمقامرة والتواصل والتسلية. وهناك يتحولون من خبراء برمجة إلى قراصنة، ويُعتقد أن العشرات من هؤلاء يعيشون في بؤر تديرها كوريا الشمالية في الصين.

يقول كيونغ جين كيم، الرئيس السابق لمكتب التحقيقات الفيدرالي في كوريا الجنوبية، والذي يعمل الآن كمحققٍ خاص في سيول: “إنهم بارعون جداً في إخفاء آثارهم؛ ولكنهم في بعض الأحيان، مثل أي مجرم آخر، يتركون بعض البصمات الإلكترونية خلفهم؛ وهي تقودنا إلى تحديد مواقع عملهم”.

قادت بعض البصمات الإلكترونية المحققين إلى فندق متواضع في تشين يانغ، شمال شرقي الصين، يزخر بالرموز الكورية الشمالية ويُدعى فندق تشيلبوسان؛ تيمناً بسلسلة جبال شهيرة في كوريا الشمالية. وتكشف صور الفندق المنشورة على مواقع تقييم الفنادق عن اللمسات الكورية الساحرة، والمطبخ الكوري الشمالي، والمضيفات اللاتي يغنين ويرقصن للنزلاء.

يضيف كيونغ جين كين: “من المعروف في مجتمع المخابرات أن قراصنة كوريين شماليين كانوا يعملون من فندق تشيلبوسان عندما ظهروا للمرة الأولى على المسرح العالمي عام 2014”. ويقول المنشق الكوري هيون سيونغ لي، إن مدينة داليان الصينية التي يعتقد أن بارك جين هيوك عاش فيها عشر سنوات، كانت تؤوي مجموعةً من مبرمجي الكمبيوتر يعملون في عملية مماثلة تقودها كوريا الشمالية.

وكان من بينهم أكثر من 60 مبرمجاً شاباً تعرف عليهم -كما يقول- أثناء لقاءات الكوريين في المناسبات الوطنية؛ مثل عيد ميلاد زعيمهم كيم إيل سونغ. وقد دعاه أحدهم إلى مكان سكنه حيث شاهد “نحو 20 شخصاً يعيشون في مكانٍ واحد، ويتشارك كل ستة أشخاص غرفة واحدة، وقد حولوا غرفة المعيشة إلى ما يشبه مكتباً مليئاً بالكمبيوترات”.

قالوا له إنهم كانوا ينتجون ألعاباً لأجهزة الهواتف الذكية، ويبيعونها عبر وسطاء إلى كوريا الجنوبية واليابان، ويكسبون نحو مليون دولار سنوياً. ومع أن المخابرات الكورية الشمالية كانت تراقبهم عن كثبٍ؛ فقد كان هؤلاء الشباب يتمتعون بحرية نسبية. يقول لي: “لا تزال حياتهم مقيدة؛ ولكن بالمقارنة مع كوريا الشمالية فهم يتمتعون بقدر كبير من الحرية، ويمكنهم الوصول إلى الإنترنت، ومن ثم مشاهدة بعض الأفلام”.

بعد أن أمضى نحو ثماني سنوات في داليان، يبدو أن بارك جين هيوك أراد العودة إلى بيونغ يانغ. فقد ذكر في رسالةٍ إلكترونية، اعترضها مكتب التحقيقات الفيدرالي، أنه يريد العودة إلى الوطن ليتزوج خطيبته؛ ولكن لم يتم السماح له بالعودة قبل بضع سنوات.

يقول مكتب التحقيقات الفيدرالي إن رؤساءه قد كلفوه بمهمةٍ أخرى تتمثل في هجومٍ إلكتروني على إحدى كبرى شركات العالم في مجال الترفيه “سوني بيكتشرز إنترتينمنت” في هوليوود.

في عام 2013، أعلنت شركة “سوني بيكتشرز” عن إنتاج فيلم من بطولة سيثر وغن وجايمس فرانكو، تدور أحداثه في كوريا الشمالية. يحكي الفيلم قصة مضيف برنامج حواري يذهب إلى كوريا الشمالية لإجراء مقابلة مع كيم جونغ أون، وتقوم وكالة المخابرات الأمريكية المركزية بإقناعه باغتيال الزعيم الكوري.

هددت كوريا الشمالية بإجراءاتٍ انتقامية ضد الولايات المتحدة إذا ما قامت الشركة بعرض الفيلم، وفي نوفمبر 2014 وصلت رسالة إلكترونية إلى مديري الشركة من قراصنة يدعون أنفسهم “حراس السلام” يهددونهم فيها بإلحاق ضررٍ كبير بالشركة.

وبعد ثلاثة أيام، ظهرت على شاشات كمبيوترات موظفي الشركة صورة من فيلم رعب لهيكل عظمي ملطخ بالدماء، وله أنياب وعينان متوهجتان. لقد نفذ القراصنة تهديدهم. وتم تسريب رواتب كبار المديرين في الشركة، وكذلك سُربت مراسلات الشركة الداخلية، وتفاصيل عن أفلام لم تعرض بعد، وتوقف نشاط الشركة بشكل كامل؛ حيث تعطلت أجهزة الكمبيوتر في جميع مكاتبها بفعل فيروس القراصنة، ولم يتمكن الموظفون من تمرير بطاقات تصاريح الدخول عبر البوابات الإلكترونية لمكاتبهم أو من استخدام الطابعات، ولم يتمكن المطعم التابع للمكتب الرئيسي للشركة لمدة ستة أسابيع من تلقي الدفع عبر بطاقات الائتمان.

وبعد تلقيها تهديدات بالعنف الجسدي، وامتناع العديد من دور السينما الرئيسية عن عرض الفيلم، قررت الشركة إلغاء خططها لإطلاق الفيلم بالطريقة المعتادة، واكتفت بنشره رقمياً فقط، وفي بعض دور السينما الصغيرة المستقلة.

ولكن الهجوم على شركة “سوني” كان مجرد اختبار صغير لهجوم أكبر وأكثر طموحاً على بنك بنغلاديش عام 2016.

لا تزال بنغلاديش تحاول استرداد أموالها المسروقة، وقد اتخذ البنك الوطني فيها إجراءاتٍ قانونية ضد العشرات من الأشخاص والمؤسسات؛ بما فيها بنك “RCBC” الذي ينفي قيامه بأي انتهاك للقانون.

وبقدر ما كان اختراق بنك بنغلاديش بارعاً، كانت سعادة النظام في بيونغ يانغ بالنتيجة النهائية؛ فالخطة التي وضعت لسرقة مليار دولار انتهت ببضع عشرات من الملايين، حيث فقد اللصوص مئات الملايين أثناء تنقلهم في النظام المصرفي العالمي، وعشرات الملايين دفعت للوسطاء. ولكن السلطات الأمريكية ترى أن كوريا الشمالية سوف تتمكن في المستقبل من إيجاد طرق لتجنب مثل هذا الاستنزاف.

في مايو 2017، انتشر فيروس الفدية “WannaCry” كالنار في الهشيم، مهدداً ضحاياه بتدمير ملفاتهم إذا لم يدفعوا فدية من بضع مئات من الدولارات، من خلال عملة بيتكوين الرقمية. تعطل نظام الخدمات الصحية في المملكة المتحدة، وتضررت أقسام الحوادث والطوارئ فيها، واُضطر مرضى السرطان لإعادة جدولة مواعيدهم.

وعندما قام محققون من وكالة الجرائم الوطنية في المملكة المتحدة، بالتعاون مع مكتب التحقيقات الفيدرالي، بالتدقيق في هذا العمل، وجدوا تشابهاً مذهلاً مع الفيروسات المستخدمة في هجومَي بنك بنغلاديش، وشركة “سوني إنترتينمنت بكتشرز”.

وفي نهاية المطاف، أضاف مكتب التحقيقات الفيدرالي هذا الهجوم إلى التهم الموجهة ضد بارك جين هيوك. وإذا صحت ادعاءات مكتب التحقيقات الفيدرالي، فإن ذلك يعني أن جيش كوريا الشمالية السيبراني قد أصبح يتبنى العملة الرقمية المشفرة، وهذا يشكل قفزة كبيرة إلى الأمام؛ لأن استخدام هذا الشكل الجديد من المال يتخطى إلى حد كبير النظام المصرفي التقليدي؛ وبالتالي يمكنه تجنب النفقات الكبيرة مثل المكافآت، وتكاليف الوسطاء.

كان فيروس “WannaCry” مجرد البداية؛ ففي السنوات التالية عزَت شركات الأمن السيبراني العديدَ من هجمات العملة المشفرة إلى كوريا الشمالية. وقالت إن قراصنة كوريا قد استهدفوا مراكز تبادل العملات المشفرة بالعملات التقليدية. وتقدر قيمة السرقات التي تمت من هذه التبادلات بما يزيد على مليارَي دولار.

عرضنا هذه المزاعم على قنصلية كوريا الشمالية في لندن، وقال لنا السفير تشو إيل، إن بلاده تنفي كلَّ هذه الاتهامات التي تطلقها الولايات المتحدة وغيرها من الدول؛ والتي وصفها بأنها مهزلة. وقال إن الدافع الحقيقي وراء ذلك هو رغبة الولايات المتحدة في تشويه سمعة بلاده بكل أنواع الافتراء والعار.

ولكن الاتهامات تستمر؛ ففي فبراير اتهمت وزارة العدل الأمريكية شخصَين من كوريا الشمالية، زعمت أنهما عضوان في مجموعة لازاروس، بارتكاب جرائم تبييض أموال وارتباطهما بشبكة تمتد من كندا إلى نيجيريا.

 

المصدر: كيو بوست

النشرة البريدية

سجل بريدك لتكن أول من يعلم عن تحديثاتنا!

تابعونا على

تابعوا أحدث أخبارنا وخدماتنا عبر حسابنا بتويتر