حملة برمجيات الفدية Qilin تتصاعد في كوريا الجنوبية: الجهات الروسية والكورية وراء تدمير القطاع المالي

شهر سبتمبر 2024 شكل نقطة تحول حاسمة عندما ارتفعت هجمات برمجية الفدية Qilin في كوريا الجنوبية إلى 25 حادثة—وهو ارتفاع مذهل بمقدار 12 ضعفًا مقارنة بالمعدل الشهري النموذجي البالغ حالياً اثنين من الحالات. هذه الحملة المنسقة، التي نظمها مجرمو الإنترنت الروس وفاعلون تهديديون مرتبطون بكوريا، اخترقت 24 مؤسسة مالية وأسفرت عن سرقة أكثر من 2 تيرابايت من البيانات الحساسة للغاية.

تشريح أكبر خرق في القطاع المالي بكوريا الجنوبية

وفقًا لتقييم التهديدات لشهر أكتوبر 2024 من Bitdefender، تمثل عملية Qilin نموذج تهديد هجين يمزج بين بنية تحتية لبرمجية الفدية كخدمة (RaaS) مع أهداف تجسس مدعومة من الدولة. حدد الباحثون الأمنيون 33 حادثًا إجمالياً خلال عام 2024، مع تركيز الغالبية في فترة مدمرة استمرت ثلاثة أسابيع بدءًا من 14 سبتمبر.

كان مسار الهجوم بسيطًا بشكل خادع لكنه فعال بشكل مدمر: تسلل المهاجمون إلى مزودي الخدمات المدارة (MSPs) الذين يعملون كوسطاء للبنية التحتية الحيوية للبنوك والشركات المالية في كوريا الجنوبية. من خلال اختراق هؤلاء المزودين، حصل المهاجمون على وصول مميز لعدد من العملاء النهائيين في وقت واحد—استراتيجية هجوم على سلسلة التوريد أثبتت أنها تكاد تكون مستحيلة للكشف عنها بشكل مستقل من قبل المؤسسات المالية الفردية.

كشفت تحليلات Bitdefender أن تسريب البيانات حدث على ثلاث موجات منسقة. الاختراق الأول في 14 سبتمبر 2024 كشف عن ملفات من 10 شركات إدارة مالية. وأدت عمليات تفريغ البيانات التالية بين 17-19 سبتمبر و28 سبتمبر-4 أكتوبر إلى إضافة 18 ضحية أخرى، مما جمع حوالي مليون ملف يحتوي على تقديرات للمخابرات العسكرية، وخطط اقتصادية، وسجلات سرية للشركات.

التحالف التهديدي الروسي الكوري وتداعياته

تعمل مجموعة Qilin نفسها من الأراضي الروسية، مع أعضاء مؤسسين نشطين على منتديات الجريمة الإلكترونية الروسية تحت أسماء مستعارة مثل “BianLian”. ومع ذلك، فإن حملة كوريا الجنوبية تحمل سمات مميزة لمشاركة كوريا الشمالية، وتربط بشكل خاص العملية بمجموعة التهديد Moonstone Sleet المعروفة بتنفيذ عمليات تجسس إلكترونية مدفوعة بالاستخبارات.

حول هذا التحالف ما كان يمكن أن يكون مجرد خطة ابتزاز مالي مباشرة إلى عملية جمع معلومات ذات أهداف متعددة. برر المهاجمون علنًا تسريبات البيانات بادعاء كاذب أن المواد المسروقة تحمل قيمة “مكافحة الفساد”—تكتيك دعاية مصمم لإخفاء عمليات جمع المعلومات على مستوى الدولة. وفي حالة ملحوظة، أشار القراصنة حتى إلى إعداد تقارير استخباراتية للقيادات الأجنبية استنادًا إلى مخططات الجسور ومنشآت الغاز الطبيعي المسال المسروقة.

استهداف مركز المال في كوريا الجنوبية ليس صدفة. إذ تحتل المرتبة الثانية عالميًا من حيث التعرض لبرمجية الفدية في 2024، فإن البنية التحتية المصرفية المتطورة في كوريا الجنوبية تجعلها هدفًا جذابًا لكل من المجرمين التجاريين والدول التي تسعى للحصول على معلومات اقتصادية.

التأثير على الأسواق المالية وبيئة العملات الرقمية

تشكّل سرقة 2 تيرابايت من البيانات مخاطر لاحقة على بورصات العملات الرقمية والمنصات المالية التي تعتمد على البنية التحتية المصرفية التقليدية. يمكن أن يُستخدم السجلات المالية، ووثائق التعرف على العميل (KYC)، وبيانات المعاملات كأسلحة للتلاعب بالسوق، أو التهرب من التنظيم، أو الاحتيال المستهدف ضد متداولي العملات الرقمية والمستثمرين المؤسساتيين.

تؤكد مجموعة NCC للمعلومات الاستخباراتية أن Qilin الآن تمثل 29% من حوادث برمجية الفدية على مستوى العالم، مع أكثر من 180 ضحية محتملة في أكتوبر 2024 وحده. القدرة المثبتة للمجموعة على تحقيق أرباح من الاختراقات من خلال مطالبات الابتزاز التي تتراوح بملايين الدولارات تخلق ضغطًا مستمرًا على الضحايا للامتثال—غالبًا قبل أن تصل البيانات إلى منتدى التسريبات العامة.

التدابير الدفاعية والنصائح الأمنية الموصى بها

يجب على المؤسسات المالية في المنطقة تنفيذ عدة تدابير حاسمة على الفور:

التحقق من مزودي الخدمات المدارة والمراقبة: وضع بروتوكولات تقييم صارمة للبائعين والمراقبة المستمرة لوصول الأطراف الثالثة. أثبتت بنية الثقة الصفرية التي تتعامل مع كل حركة مرور الشبكة بشك—بغض النظر عن المصدر—فعاليتها في الحد من الحركة الجانبية.

تقسيم الشبكة: لو قامت البنوك الكورية بشكل صحيح بعزل الأنظمة الحيوية عن الشبكات التي يمكن الوصول إليها من قبل مزودي الخدمات، لكان من الممكن الحد بشكل كبير من تسريب 2 تيرابايت. يخلق التقسيم مقاومة تشتري الوقت للكشف عن الحوادث والاستجابة لها.

تسريع استجابة الحوادث: نشر أدوات الكشف والاستجابة على نقاط النهاية (EDR) مع تحليلات سلوكية. تعتمد آلية توصيل Qilin على إنشاء أبواب خلفية مستمرة—مثل أدوات أمن نقطة النهاية من Bitdefender التي يمكنها التعرف على العمليات الشاذة قبل تشفير الملفات.

تدريب الموظفين: من المحتمل أن يكون الاختراق الأولي لمزود الخدمة المدارة ناتجًا عن هجمات التصيد أو سرقة الاعتمادات. تقلل التدريبات المنتظمة على محاكاة الهجمات والتوعية الأمنية من عوامل الضعف البشرية.

التداعيات الاستراتيجية لصناعة العملات الرقمية

تُظهر حملة Qilin-كوريا الجنوبية كيف تطورت برمجية الفدية من مجرد ابتزاز إلى تهديد هجين يجمع بين كفاءة الجريمة الإلكترونية وأهداف التجسس على مستوى الدولة. مشاركة الجهات الكورية تشير إلى أن التوترات الجيوسياسية تتجلى بشكل متزايد من خلال هجمات على البنية التحتية الرقمية تستهدف القطاعات المالية.

تواجه منصات العملات الرقمية التي تعمل في كوريا الجنوبية أو تخدم عملاءها مخاطر متزايدة من هجمات برمجية الفدية المباشرة والتعرض غير المباشر من خلال مزودي الخدمات المالية. قد تتضمن سرقة 2 تيرابايت من البيانات سجلات العملاء، وأنماط المعاملات، والعلاقات المؤسساتية التي يمكن للجهات الأجنبية استغلالها للاستهداف الانتقائي.

الفرصة لاتخاذ إجراءات دفاعية تتضاءل. قد تواجه المؤسسات التي تفشل في تنفيذ تدابير أمن سلسلة التوريد وتقسيم الشبكة خلال هذا الربع خروقات مماثلة في الأشهر القادمة مع استمرار المهاجمين في رسم خريطة للبنية التحتية المالية في كوريا الجنوبية.

كما خلص تقييم Bitdefender لشهر أكتوبر 2024: “تؤكد هذه العملية على التداخل المتطور بين الجريمة الإلكترونية والأهداف الجيوسياسية داخل القطاعات المالية الحيوية. إن الطبيعة الهجينة للتهديدات تتطلب استراتيجيات دفاعية هجينة تتضمن الضوابط التقنية، وإدارة البائعين، ودمج المعلومات الاستخباراتية للتهديدات.”