أبناء الكوريتين يلعبون لعبة القط والفأر عبر الإنترنت

بات كاي كيونغ جو كواك الباحث في مجال الأمن السيبراني من كوريا الجنوبية يعرف متى يُطلق جيرانه في كوريا الشمالية برمجيات ضارة، إذ يقول إنَّهم يتركون أدلة في الشفرات الخبيثة تظهر معرفتهم بعدوهم. شرح ضاحكاً: "أحياناً يضعون فيها اسماً من برنامج (كيه بوب ستار)". هم لا يحبون "بي تي إس"، ويفضلون الفرقة النسائية بالكامل "غيرلز جينيريشن" (Girls 'Generation). كما قال كواك إنَّه عثر أيضاً على أدلة رقمية تبيّن أنَّ الكوريين الشماليين ينزلون مسلسلات كورية جنوبية في مخالفة للقانون مرجحاً أنَّ هدفهم الترفيه عن أنفسهم عند انتهاء مناوباتهم.

عذراء العذاب

يعمل كواك كباحث في التهديدات في شركة الأمن السيبراني "إس 2 دبليو" (S2W) التي يقع مقرها في سيؤول، حيث يشرف على فريق من 20 متخصصاً في الأمن السيبراني يسمى "تالون غروب" (Talon Group)، غالبيته من أصحاب الخبرة في كوريا الشمالية، ويعمل مع سلطات إنفاذ القانون الدولية لإحباط محاولات القرصنة الكورية الشمالية. لدى الشركة أيضاً عملاء من القطاع الخاص في مجالات التجارة الإلكترونية والسيارات وأشباه الموصلات والتقنية الحيوية.

يمكن أن يكون العمل مملاً ومحبطاً، لكنَّه أحياناً يكون مجزياً للغاية، لقد كان كواك من بين أول من حدد مجموعة قرصنة كورية شمالية جديدة منذ عدة سنوات، وأطلق عليها اسم "أنداريل" (Andariel) على اسم شيطانة تُعرف أيضاً باسم "عذراء العذاب" (Maiden of Anguish) في لعبة الفيديو المسماة "ديابلو 2" (Diablo II).

طوّر نظام القائد الأعلى كيم جونغ أون القرصنة كأداة فعالة لسرقة المعلومات العسكرية وجمع الأموال للبلد الذي يعاني من ضائقة مالية ومعاقبة الخصوم. أعلن قراصنتها عن أنفسهم في هجوم في 2014 على شركة "سوني بيكتشرز إنترتينمنت" (Sony Pictures Entertainment)، حيث سرق قراصنة ترعاهم الدولة محتوى حساساً وسرّبوه في انتقام واضح بعد فيلم "ذا انترفيو" (The Interview) الكوميدي الذي ركز على مؤامرة لاغتيال كيم. منذئذ اتُهم قراصنة كوريا الشمالية بسرقة 81 مليون دولار من بنك بنغلاديش في 2016، وشن هجمات "وانا كراي" العالمية للفدية في 2017، واستهداف شركات الأدوية وشركات العملات المشفَّرة.

قال بروس بيكتول جونيور، أستاذ العلوم السياسية بجامعة أنجيلو ستيت، الذي كتب عدة كتب عن كوريا الشمالية: "عندما يتعلق الأمر بالأمن الوطني، ما تزال كوريا الجنوبية هدفاً، لكن فيما يتعلق بالجرائم السيبرانية وسرقة الأموال؛ فإنَّهم يفعلون ذلك في جميع أنحاء العالم".

أعشاش في الخارج

في الوقت الذي يسترخي فيه معظم زملاء كواك بعد الغداء، يبدأ قراصنة كوريا الشمالية العمل في الساعة 9 صباحاً بتوقيت سيؤول، وفقاً لجدول زمني أكثر صرامة، ويأخذون استراحة غداء واستراحة عشاء لمدة ساعتين وينتهون من عملهم عند 11 ليلاً، بحسب كواك. يقدّر الجيش الأميركي أنَّ هذه العملية قوامها حوالي 6,000 قرصان من كوريا الشمالية.

بعضهم يعمل محلياً، لكنَّ كوريا الشمالية طوّرت أيضاً بنية تحتية مخصصة للمتسللين الكوريين الشماليين، وفقاً للأمم المتحدة والجيش الأميركي، حيث يعملون من "أعشاش" في دول مثل ماليزيا والصين وروسيا، وتتسامح الحكومات مع وجودهم كما يقول خبراء الإنترنت. قال كواك إنَّ القراصنة الكوريين الشماليين في الخارج يعملون وفق نظام حصص مخصصة لكل منهم وعليهم الحصول عليها بالدولار من خلال عملهم غير المشروع قبل أن يتمكّنوا من التفكير بالعودة إلى ديارهم. قال: "لديهم مهمة أن يحصلوا على 100 ألف دولار كي يعودوا إلى كوريا الشمالية. لذا سيقومون بالسطو على أي شيء يمكن تحقيق دخل منه".

حقق قراصنة كوريا الشمالية أداءً لافتاً في 2021، حيث سرقوا 400 مليون دولار من العملات المشفَّرة، وفقاً لتقرير يناير 2022 الصادر عن شركة تحليل "بلوكتشين" "تشايناليسيز" (Chainalysis). لكنَّهم تخطوا هذه الحصيلة حين بلغ ما زُعم أنَّهم سطوا عليه 600 مليون دولار من شركة ناشئة لألعاب العملات المشفَّرة في هجوم واحد في مارس.

نجح الكوريون الشماليون بذلك في بلد يعاني من انكماش اقتصادي ويخضع لعقوبات دولية، حيث التقنية الحديثة، بما في ذلك الهواتف وأجهزة الكمبيوتر نادرة جداً. يقول مايكل بارنات، المحلل في شركة الأمن السيبراني "مانديانت" (Mandiant) عن الجواسيس الرقميين في البلاد: "هؤلاء هم الأشخاص الأكثر إبداعاً. إنَّهم معتادون جداً على العمل في بيئة خاضعة للعقوبات. يعرفون تماماً ما يعنيه الجري مع أوزان على الكاحل، لذلك عندما يكون لديهم إمكانية الوصول إلى شيء يبدو لنا أنَّه مجرد أداة أساسية، فإنَّهم يجعلونه مفيداً بشكل لا يصدق".

حراسة وألعاب

كواك أب لطفلين ويلعب الهوكي، وكانت بداية اهتمامه بالأمن السيبراني عندما كان طالباً حديث العهد يدرس علوم الكمبيوتر في جامعة سونغكيونكوان. التحق بنادي أمن المعلومات لديها، وقد كان بمثابة قسم تقنية المعلومات بالجامعة. واكتشف الطلاب متسللين حاولوا الاستيلاء على خوادم الجامعة وتوزيع برمجيات ضارة.

انضم إلى شركة "إس 2 دبليو" (S2W)، واسمها اختصار لعالم آمن، قبل عامين. يعمل كواك الآن من المقر الرئيسي للشركة في وادي بانغيو تيكنو، وهو نسخة كوريا الجنوبية من وادي السيليكون، في مكتب مجهز بمعدات العمل القياسية: كالكراسي القماشية المريحة، ومجموعة "جينغا" (Jenga)، ونظام "نيتيندو سويتش" (Nintendo Switch)، وشاشة فيديو كبيرة الحجم. يجلس المحللون في مقصورات مجهزة بشاشتين: واحدة لمسح الإنترنت والأخرى لتحليل الرموز. (غالباً ما تكون هناك لوحة مفاتيح أو كمبيوتر محمول إضافي لأعضاء فريق المراسلة). بعد اكتشاف طرق فك تشفير الشفرة الضارة، فإنَّهم يدرسونها ويقارنونها بالشفرة الكورية الشمالية المعروفة.

اكتشف كواك في 2016 المجموعة التي سمّاها "أنداريل" وهم يحاولون اختراق شركة مالية في كوريا الجنوبية. لاحظ كواك أنَّ الرموز والخطط تختلف اختلافاً طفيفاً عن البرمجيات الضارة المرتبطة عادةً بـ"لازاروس" (Lazarus) منظمة القرصنة التي تدعمها بيونغ يانغ والمرتبطة بخروقات "سوني بيكتشرز" وعملية سرقة بنك بنغلاديش. أخذ عيّنات من البرمجيات الضارة من الاختراقات السابقة المنسوبة إلى المجموعة. وقال في النهاية إنَّه أصبح من الواضح أنَّ "أنداريل" مختلفة، برغم ارتباطها بمجموعة "لازاروس" الأكبر. قدّم النتائج التي توصل إليها إلى حكومة كوريا الجنوبية.

قال مسؤولون أميركيون في وقت لاحق إنَّ "أنداريل" كانت من مجموعة "لازاروس"، ثم فرضت الولايات المتحدة عقوبات ضد "أنداريال" في 2019، قائلة إنَّها اخترقت ألعاب البوكر عبر الإنترنت، ومواقع المقامرة الأخرى لسرقة الأموال، بالإضافة إلى اختراق الكمبيوتر الشخصي لوزير الدفاع في كوريا الجنوبية آنذاك.

بقدر ما استمتع كواك حين عثر على إشارات ثقافة البوب المضمّنة في البرمجيات الضارة لكوريا الشمالية، لكنَّه يقول إنَّه قاوم رغبته بالرد بالمثل. كما يأمل يوماً ما بالتواصل مباشرة مع الأشخاص الذين قضى حياته المهنية في مطاردتهم عبر لوحة المفاتيح. قال: "الحكومة تقول إنَّنا أعداء. لكنَّني أريد أن التقي بهم إن اتحدنا في يوم من الأيام. أريد أن أقول: مرحباً، كنت أنا من سمى إحدى مجموعاتكم، هل رأيتم ذلك؟".