جنون كيليان الكوري: كيف نظم الممثلون الروس والكوريون الشماليون سرقة بيانات مالية بحجم 2 تيرابايت

عندما ضرب سبتمبر 2024، واجه القطاع المالي في كوريا الجنوبية هجومًا غير مسبوق. قام مشغلو برامج الفدية Qilin—الذين يعملون عبر خلايا منسقة تشمل جهات تهديد روسية وكورية شمالية—بشن 25 هجومًا رئيسيًا في شهر واحد، مما قضى على المعدل المعتاد الذي يبلغ اثنين حادثة شهريًا في البلاد. كشف تلاقي هذه القوى عن ثغرة حرجة: مزودو الخدمات المدارة (MSPs) المخترقون أصبحوا منصة لانطلاق التسلل إلى الشبكات المالية على مستوى البلاد. بحلول الخريف، تم إيقاع أكثر من 40 منظمة كورية في القطاع المالي، مع استهداف 24 منها بشكل خاص للبنوك وشركات إدارة الأصول، وتدفق 2 تيرابايت من البيانات الحساسة—بما في ذلك معلومات عسكرية واقتصادية—إلى أيدي المهاجمين.

تشريح كارثة سلسلة التوريد

كشف تقرير التهديدات لشهر أكتوبر 2024 من Bitdefender عن طبقات هذه الحملة المنسقة، موضحًا عملية هجينة متطورة. بدلاً من التكتيكات التقليدية للقوة الغاشمة، استغل المهاجمون نقطة ضعف في سلسلة التوريد: مزودو الخدمات المدارة الذين يخدمون عدة مؤسسات مالية في آن واحد. من خلال اختراق MSP واحد، حقق المهاجمون ما يتطلب عادة عشرات الاختراقات المنفصلة.

كشف هيكل الموجة عن دقة محسوبة:

• الموجة الأولى (14 سبتمبر 2024): استهداف 10 شركات إدارة مالية في هجوم منسق
• الموجة الثانية (17-19 سبتمبر 2024): تعرض 8 ضحايا إضافيين
• الموجة الثالثة (28 سبتمبر - 4 أكتوبر 2024): اختراق 10 كيانات مالية أخرى

إجمالاً، ظهرت 33 حادثة عبر 2024-2025، وكانت Qilin مسؤولة بشكل مباشر عن الغالبية. قادت حملة تسريبات كوريا عملية سرقة حوالي مليون ملف—حجم يوحي بأشهر من المراقبة المسبقة والحركة الجانبية داخل شبكات الضحايا.

الرابط الروسي-الكوري الشمالي: أكثر من ابتزاز بسيط

ما ميز هذه العملية عن حملات برامج الفدية التقليدية هو دافعها المزدوج. Qilin، مجموعة ذات أصل روسي تعمل عبر نموذج Ransomware-as-a-Service (RaaS)، تركز عادة على الاستحواذ المالي. ومع ذلك، اكتشف محققو Bitdefender روابط موثوقة مع جهات فاعلة كورية شمالية—وتحديدًا مجموعة معروفة باسم Moonstone Sleet—التي بدا أن اهتمامها الأساسي هو التجسس أكثر من جمع الفدية.

ظهرت الأدلة في مناقشات منتديات مسربة. عندما تم اختراق GJTec، مزود خدمة كوري رئيسي، (مؤثرًا على أكثر من 20 مدير أصول)، نشر القراصنة مستندات تدعي قيمتها للمخابرات العسكرية. في اختراق قطاع البناء في أغسطس 2024، كانت مخططات سرية للجسور والبنى التحتية للغاز الطبيعي المسال تُصنف على أنها ذات أهمية استراتيجية—مع تسريبات في المنتديات تشير صراحة إلى إعداد تقارير للقيادة الكورية الشمالية.

يعمل هذا النموذج الهجيني على عدة طبقات:

• الطبقة 1 (استخراج مالي): تنفذ فروع روسية عمليات RaaS، demanding ملايين الدولارات كفدية مع الحفاظ على أمن العمليات عبر مناقشات منتديات باللغة الروسية
• الطبقة 2 (المخابرات الجيوسياسية): تقتنص جهات كورية شمالية بيانات اقتصادية وعسكرية حساسة، دون دافع فدية واضح
• الطبقة 3 (حرب المعلومات): يصور المهاجمون أنفسهم كمدافعين عن مكافحة الفساد، مستخدمين روايات دعائية لتبرير التسريبات وتحويل الانتباه عن المسؤولية

لماذا كوريا الجنوبية؟ الهدف الجغرافي والاستراتيجي

بحلول نهاية عام 2024، أصبحت كوريا الجنوبية ثاني أكثر الدول تضررًا من برامج الفدية على مستوى العالم، بعد الولايات المتحدة فقط. لم يكن هذا التصنيف صدفة. القطاع المالي في البلاد—المركّز بشكل كثيف على البنوك، ومديري الأصول، ومنصات التكنولوجيا المالية المرتبطة بالعملات الرقمية—يمثل هدفًا مثاليًا لكل من المجرمين الماليين وعمليات الاستخبارات المدعومة من الدولة.

حددت مجموعة NCC للمعلومات الاستخباراتية أن Qilin كانت مسؤولة عن حوالي 29% من حوادث برامج الفدية العالمية في أكتوبر 2024 وحده، مع أكثر من 180 ضحية مُعلنة. ومع ذلك، برزت حملة كوريا بسبب تركيزها: 24 من أصل 33 حادثة استهدفت القطاع المالي تحديدًا، مما يشير إلى استهداف مدفوع بالمعلومات الاستخباراتية بدلاً من المسح العشوائي.

كان اختراق سلسلة التوريد لـ GJTec بمثابة نقطة الارتكاز. من خلال الوصول عبر مزود خدمة واحد يدير البنية التحتية لعشرات الشركات المالية الكورية، ضاعف المهاجمون تأثيرهم بشكل كبير. انتشرت برامج الفدية عبر بيانات اعتماد مُعدة مسبقًا والوصول الإداري—عامل يوحي بأنهم أجروا أسابيع من التحقيق قبل بدء الهجوم في سبتمبر.

نموذج عمل RaaS: كيف أصبحت الجريمة شركة

كشف هيكل Qilin التشغيلي عن نضوج نموذج Ransomware-as-a-Service إلى اقتصاد موازٍ. تحافظ المجموعة على:

• خبراء ابتزاز داخليين مكرسين لصياغة مطالب فدية مخصصة ومواد تفاوض
• فرق دعم فني تقدم المساعدة في نشر البرمجيات الخبيثة وحل المشكلات
• توظيف شركاء يعرضون اتفاقيات تقاسم الأرباح (عادة 20-30% من الفدية المجمعة للمشغلين الميدانيين)
• بروتوكولات أمن العمليات بما في ذلك سياسات واضحة ضد استهداف كيانات رابطة الدول المستقلة—مما يكشف عن ولاء المجموعة للمجال الروسي

يعني هذا الهيكل أن حملة كوريا كانت تنفذها عدة شركاء تحت توجيه استراتيجي مركزي. من المحتمل أن يكون العضو المؤسس “BianLian”، المعروف بمشاركته في منتديات باللغة الروسية، قد نسق التوقيت والاستهداف مع شركاء من كوريا الشمالية.

آثار سرقة البيانات على الأسواق المالية والعملات الرقمية

شملت مجموعة البيانات التي بلغت 2 تيرابايت أكثر من سرية الشركات. تضمنت المستندات المسروقة:

• مخططات بنية تحتية مصرفية وبيانات اعتماد
• اتصالات المستثمرين التي تكشف عن ادعاءات تلاعب في الأسهم
• معلومات اقتصادية مرتبطة بفساد سياسي مزعوم
• إجراءات تشغيلية لمنصات إدارة الأصول التي تخدم المشاركين في صناعة العملات الرقمية

بالنسبة لنظام العملات الرقمية، خلقت التسريبات مخاطر متسلسلة. واجهت البورصات والمنصات المالية التي تعتمد على الشراكات المالية الكورية اضطرابات تشغيلية. هددت البيانات المسربة حول “تلاعب الأسهم والروابط السياسية” بثقة السوق في المؤسسات الكورية—وهو مسار هجوم ثانوي يتجاوز الخسارة المالية المباشرة.

الضروريات الدفاعية: بناء المرونة ضد التهديدات الهجينة

توصيات Bitdefender لتعزيز الدفاع ضد عمليات Qilin تركز على معالجة ثغرات سلسلة التوريد:

إجراءات فورية:

• تنفيذ بنية الثقة الصفرية لجميع اتصالات MSP
• طلب المصادقة متعددة العوامل على جميع الحسابات الإدارية
• إجراء تدقيق فوري لسجلات وصول مزود الخدمة الخارجي

تقوية متوسطة المدى:

• نشر أدوات الكشف والاستجابة للنقاط النهائية (EDR) لتحديد أنماط الحركة الجانبية المتوافقة مع تكتيكات Qilin المعروفة
• تقسيم الشبكات لاحتواء الاختراقات ومنع الانتشار بين الكيانات المالية
• وضع أدلة استجابة للحوادث تتناول بشكل خاص سيناريوهات اختراق MSP

المرونة الاستراتيجية:

• تقييم مزودي الخدمات المدارة عبر تدقيقات أمنية ومعلومات تهديد سابقة
• تدوير البيانات الاعتمادية ربع سنويًا وفرض مبدأ أقل الامتيازات على البائعين الخارجيين
• مراقبة منتديات RaaS والأسواق المظلمة للحصول على مؤشرات مبكرة للاستهداف

أظهرت حملة كوريا أن الدفاعات التقليدية على الحدود لم تكن كافية. المهاجمون الذين يكتسبون موطئ قدم عبر مزودي الخدمة الموثوقين يعملون ضمن حدود الأمان—مما يتطلب أدوات كشف واستجابة سريعة بدلاً من الحظر الوقائي.

البعد الجيوسياسي: الجريمة الإلكترونية تلتقي بالدبلوماسية

مثلت عملية Qilin في كوريا الجنوبية مثالًا على تلاقي التهديدات الناشئة: مؤسسات إجرامية محترفة تتعاون مع خدمات استخبارات مدعومة من الدولة. بالنسبة لكوريا الشمالية، وفرت العملية:

• معلومات اقتصادية عن الأنظمة المالية الكورية والبنية التحتية التقنية
• قدرات تقنية مستعارة من بنية RaaS الروسية (تطوير البرمجيات الخبيثة، وتقنيات أمن العمليات)
• إنكار معقول من خلال نسب روسية ظاهرة، بينما كانت الفوائد الاستراتيجية الحقيقية تتراكم في بيونغ يانغ

هذا النموذج—حيث تستفيد الجهات الحكومية من البنية التحتية الإجرامية للاستخبارات—يخلق تحديات في تحديد الهوية ويصعب الردود الدفاعية. العقوبات التقليدية على “مجموعات برامج الفدية الروسية” تصبح غير فعالة عندما يكون المستفيد الحقيقي يعمل جيوسياسيًا.

التداعيات على النظام المالي الأوسع

يخلص تحليل Bitdefender إلى أن تجربة كوريا الجنوبية تنذر بوجود ثغرات نظامية في جميع المراكز المالية. إن نموذج اختراق سلسلة التوريد ينطبق بشكل متساوٍ على المؤسسات المالية الأمريكية والأوروبية والآسيوية. مع تزايد اعتماد الأصول الرقمية ضمن البنية التحتية المصرفية التقليدية، فإن برامج الفدية التي تؤثر على البنوك تهدد الآن بشكل مباشر أمن الأصول الرقمية.

حصلت عملية Qilin على أكثر من 2 تيرابايت من البيانات الاستراتيجية—حجم يوحي بأن المهاجمين أجروا شهورًا من التحضير قبل تنفيذ الهجوم في سبتمبر، مع رسم خرائط للبنية التحتية وتحديد الأهداف عالية القيمة. هذا الدقة تتناقض مع الروايات التي تصور برامج الفدية كحوادث عشوائية عابرة. عكس ذلك، فإن حملة كوريا كانت نتيجة تخطيط متطور نفذه جهات فاعلة ناضجة.

الخلاصة: نموذج التشغيل الجديد للتهديدات

يمثل تصاعد برامج الفدية Qilin في كوريا الجنوبية—مع 25 حادثة في سبتمبر وحده—نضوج العمليات الهجينة التي تمزج بين الدافع المالي والجاسوسية المدعومة من الدولة. قدمت الجهات الروسية البنية التحتية التكنولوجية عبر نموذج RaaS، بينما استثمر شركاء كوريا الشمالية في جمع المعلومات الاستخباراتية ذات التطبيقات العسكرية. كشف اختراق سلسلة التوريد عن ضعف أساسي في إدارة المؤسسات المالية لوصول مزودي الخدمات الخارجيين.

بالنسبة لأصحاب المصلحة في البنوك، والتكنولوجيا المالية، والعملات الرقمية، فإن حادثة كوريا بمثابة تحذير استراتيجي: أنظمة الأمان التقليدية المصممة للدفاع الحدودي غير كافية ضد خصوم يعملون من خلال نقاط وصول موثوقة. يتطلب بناء المرونة استثمارًا في بنية الثقة الصفرية، وقدرات الكشف السريع، وخطط استجابة للحوادث تتناول بشكل خاص سيناريوهات اختراق سلسلة التوريد.

سرقة 2 تيرابايت من البيانات تفرض مخاطر مستمرة ليست على المؤسسات الفردية فحسب، بل على ثقة السوق في البنية التحتية المالية الكورية. مع استمرار تطور عمليات برامج الفدية نحو نماذج إجرامية-دولية هجينة، يجب أن تتكيف قدرات الدفاع accordingly. السؤال لم يعد هل ستحدث اختراقات سلسلة التوريد، بل هل تستطيع المؤسسات اكتشافها واحتوائها قبل أن تغادر البيانات الاستراتيجية الشبكة.