اخترقت مجموعة قرصنة مدعومة من حكومة كوريا الشمالية شركة أمريكية لإدارة تكنولوجيا المعلومات واستخدمتها كنقطة انطلاق لاستهداف شركات العملات المشفرة، وفقًا لمصدرين مطلعين على الأمر.
وحسب ما أفادت وكالة "رويترز"، قالت المصادر إن المتسللين اقتحموا JumpCloud ومقرها لويزفيل بولاية كولورادو في أواخر يونيو واستخدموا وصولهم إلى أنظمة الشركة لاستهداف عملاء شركة العملات المشفرة في محاولة لسرقة النقد الرقمي.
يُظهر الاختراق كيف أن جواسيس الإنترنت الكوريين الشماليين، بمجرد اقتناعهم بمطاردة شركات التشفير واحدة تلو الأخرى، يتعاملون الآن مع الشركات التي يمكن أن تمنحهم إمكانية الوصول إلى مصادر متعددة من البيتكوين والعملات الرقمية الأخرى.
لم ترد "JumpCloud"، التي اعترفت بالاختراق في منشور على مدونة الأسبوع الماضي وألقت باللوم فيه على "ممثل تهديد متطور ترعاه دولة قومية"، على أسئلة رويترز حول من يقف وراء الاختراق وأي العملاء تأثروا.
قال متحدث باسم JumpCloud إن أقل من خمسة عملاء قد تأثروا. لم تتمكن رويترز من التأكد مما إذا كانت أي عملة رقمية قد سُرقت في النهاية نتيجة الاختراق.
وأكدت شركة الأمن السيبراني CrowdStrike Holdings (CRWD.O) التي تعمل مع JumpCloud للتحقيق في الاختراق، أن "Labyrinth Chollima" - الاسم الذي يطلقه على فرقة معينة من المتسللين الكوريين الشماليين - كان وراء الاختراق.
رفض آدم مايرز، نائب رئيس CrowdStrike الأول للاستخبارات، التعليق على ما كان يسعى إليه المتسللون، لكنه أشار إلى أن لديهم تاريخًا في استهداف أهداف العملات المشفرة.
وقال: "أحد أهدافهم الأساسية هو تحقيق إيرادات للنظام".
ولم ترد بعثة بيونج يانج لدى الأمم المتحدة في نيويورك على الفور على طلب للتعليق.
ونفت كوريا الشمالية في السابق تنظيمها لسرقة العملات الرقمية، على الرغم من الأدلة الضخمة - بما في ذلك تقارير الأمم المتحدة - على عكس ذلك.
ودعم بحث مستقل ادعاء CrowdStrike.
قال الباحث في الأمن السيبراني توم هيجل، الذي لم يكن مشاركًا في التحقيق، لرويترز إن اقتحام JumpCloud كان الأحدث من بين العديد من الانتهاكات الأخيرة التي أظهرت كيف أصبح الكوريون الشماليون بارعين في "هجمات سلسلة التوريد"، أو الاختراقات المتقنة التي تعمل من خلال المساومة. مقدمي البرامج أو الخدمات من أجل سرقة البيانات - أو الأموال - من المستخدمين في نهاية المطاف.
وامتنعت وكالة الرقابة الإلكترونية الأمريكية CISA ومكتب التحقيقات الفيدرالي عن التعليق.
وظهر الاختراق على JumpCloud - الذي تُستخدم منتجاته لمساعدة مسؤولي الشبكة في إدارة الأجهزة والخوادم - لأول مرة علنًا في وقت سابق من هذا الشهر عندما أرسلت الشركة بريدًا إلكترونيًا للعملاء لتقول إن بيانات اعتمادهم ستتغير "بسبب الحذر الشديد فيما يتعلق بحادث مستمر".
في منشور المدونة الذي أقر بأن الحادث كان اختراقًا، تتبع JumpCloud الاختراق إلى 27 يونيو.
نقل البودكاست المحفوف بالمخاطر الذي يركز على الأمن السيبراني في وقت سابق من هذا الأسبوع عن مصدرين قولهما إن كوريا الشمالية كانت مشتبه بها في الاقتحام.
Labyrinth Chollima هي واحدة من أكثر مجموعات القرصنة انتشارًا في كوريا الشمالية ويقال إنها مسؤولة عن بعض أكثر الاختراقات الإلكترونية جرأة وتعطيلًا في الدولة المعزولة، وأدت سرقتها للعملات المشفرة إلى خسارة مبالغ مذهلة.
وقالت شركة التحليلات Blockchain Chainalysis العام الماضي إن المجموعات المرتبطة بكوريا الشمالية سرقت ما يقدر بنحو 1.7 مليار دولار من النقد الرقمي عبر عمليات اختراق متعددة.
وقال مايرز من CrowdStrike إنه لا ينبغي الاستهانة بفرق القرصنة في بيونج يانج.
وقال "لا أعتقد أن هذا هو آخر ما سنراه في هجمات سلسلة التوريد الكورية الشمالية هذا العام".
(تقرير بقلم كريستوفر بينغ ورافائيل ساتر في واشنطن) ؛ شارك في التغطية جيمس بيرسون في لندن وميشيل نيكولز في نيويورك. تحرير آنا درايفر وبرناديت بوم
