في 21 فبراير ، بدأت أكبر سرقة تشفير في الظهور. حصل المتسللون على محفظة تشفير تابعة لثاني أكبر تبادل للعملة المشفرة في العالم ، و BYBIT ، وسرق ما يقرب من 1.5 مليار دولار من الرموز الرقمية. سرعان ما قاموا بتخفيض الأموال بين العشرات من محافظ العملة المشفرة والخدمات لمحاولة حجب النشاط ، قبل البدء في صرف الأموال المسروقة.
كان لدى غارة العيون الرقمية جميع السمات المميزة التي أجراها إحدى مجموعات المتسللين من النخبة في كوريا الشمالية. في حين بقي BYBIT المذيبات عن طريق استعارة العملة المشفرة وأطلق مخططًا مكافأة لتعقب الصناديق المسروقة ، سرعان ما قام مكتب التحقيقات الفيدرالي بتعليق اللوم على المتسللين الكوريين الشماليين المعروفين باسم TraderTraitor.
قبل سرقة Bybit ، تم ربط TraderTraitor بالفعل بسرقة عملة مشفرة عالية المستوى وتوافقات في برنامج سلسلة التوريد.
يقول مايكل بارنهارت ، باحث الأمن السيبراني منذ فترة طويلة يركز على كوريا الشمالية في شركة DTEX Systems: “كنا ننتظر الشيء الكبير التالي”. يقول: “لم يذهبوا بعيدًا. لم يحاولوا التوقف. كانوا يتآمرون ويخططون بوضوح – وهم يفعلون ذلك الآن”.
يعتبر المتسللون في كوريا الشمالية – إلى جانب الصين وروسيا وإيران – باستمرار واحدة من أكثر التهديدات الإلكترونية تطوراً وأكثر خطورة للديمقراطيات الغربية. في حين أن جميع هذه البلدان تنخرط في التجسس وسرقة البيانات الحساسة ، فإن عمليات كوريا الشمالية السيبرانية تأتي بمجموعة من أهدافها المميزة: المساعدة في تمويل البرامج النووية للمملكة الناسفة. على نحو متزايد ، هذا يعني سرقة العملة المشفرة.
خلال السنوات الخمس الماضية على الأقل ، قام النظام الاستبدادي لكيم جونغ أون بنشر عمال تكنولوجيا المعلومات الماهرون تقنيًا للتسلل إلى الشركات في جميع أنحاء العالم وكسب الأجور التي يمكن إرسالها إلى الوطن الأم. في بعض الحالات ، بعد طردهم ، يبتكر هؤلاء العمال أصحاب العمل السابقين من خلال التهديد بإصدار بيانات حساسة. في الوقت نفسه ، سرق المتسللون الكوريون الشماليون ، كجزء من مجموعة لازاروس المظلة العريضة ، مليارات الدولارات في العملة المشفرة من البورصات والشركات في جميع أنحاء العالم. يشكل TraderTraitor جزءًا من مجموعة Lazarus الأوسع ، التي تنفد من المكتب العام للاستطلاع ، وكالة الاستخبارات الكورية الشمالية.
تهتم شركات الأمن – التي يشار إليها أيضًا باسم Jade Sleet و Slow Bisces و UNC4899 من قبل شركات الأمن – في العملة المشفرة.
يقول شيرود ديجرو ، مدير استراتيجية التهديد في Microsoft: “إنهم يستخدمون مجموعة متنوعة من التقنيات الإبداعية للدخول إلى blockchain ، والعملة المشفرة ، وأي شيء يتعلق بالمنصات ، ومنتديات التداول ، وجميع تلك الأشياء المختلفة حول العملة المشفرة والتمويل اللامركزي”. وتقول: “مجموعة Jade Sleet (TraderTraitor) هي واحدة من أكثر المجموعات تطوراً في هذا المستوى”.
يقول باحثون في مجال الأمن السيبراني ، إن TraderTraitor ظهر لأول مرة في بداية عام 2022 ، ومن المحتمل أن يكون هناك فرع لمجموعة APT38 في كوريا الشمالية التي اخترقت النظام المالي السريع وحاولوا سرقة مليار دولار من الضفة المركزية في بنغلاديش في بداية عام 2016. “في تلك اللحظة كان لديك تحول حقيقي ومهم.”
يقول بارنهارت إن كوريا الشمالية أدركت أن الاعتماد على أشخاص آخرين – مثل البغال المالي – يمكن أن يجعل عملياتها أقل فعالية. بدلاً من ذلك ، يمكنهم سرقة العملة المشفرة. ظهرت مجموعتان من هذا التحول التكتيكي ، كما يقول بارنهارت ، Cryptocore و TraderTraitor. يقول: “المتداول هو الأكثر تطوراً على الإطلاق”. “ولماذا؟ لأن APT38 كان الفريق”.
