في تطور غير مسبوق على ساحة الأمن السيبراني، تعرضت مجموعة Kimsuky، وهي إحدى أخطر المجموعات الكورية الشمالية المدعومة من الدولة، لاختراق بيانات داخلي بعد أن تمكن قراصنة يُدعون Saber و cyb0rg من الاستيلاء على بياناتها وتسريبها بشكل علني على الإنترنت. هذه الحادثة النادرة تسلط الضوء على هشاشة حتى أكثر مجموعات التهديد شهرة، وتفتح الباب أمام الكشف عن أسرار طالما حيكت في الظلام.
خلفيات عن مجموعة كيمسوكي
تأسست مجموعة كيمسوكي في عام 2013، وتعتبر ذراعًا استخباراتيًا سيبرانيًا رئيسيًا للنظام الكوري الشمالي. اشتهرت بتنفيذ عمليات تجسس سيبراني واسعة النطاق ضد مؤسسات حكومية وشركات كبرى في كوريا الجنوبية واليابان والولايات المتحدة. وغالبًا ما تركز هجماتها على سرقة المعلومات الاستخباراتية والسياسية والمالية لخدمة الأجندة السياسية لبيونغ يانغ.
تفاصيل البيانات المسرّبة
الملفات المسربة شملت البنية الخلفية لكيمسوكي، وأدوات قرصنة، وعناوين بريد إلكتروني، وكتيبات تشغيل داخلية، بالإضافة إلى كلمات مرور قد تكشف حملات غير موثقة واختراقات لم يُعلن عنها سابقًا. كما تضمنت البيانات تعديلات خاصة بالبرامج الضارة على نظام Android Toybox، واستغلالات مثل Bushfire، إلى جانب Rootkit من نوع LKM قادر على التخفي الكامل والعمل عبر أي منفذ شبكة.
خطورة الباب الخلفي المخفي
أوضحت شركة Sandfly Security أن الهدف الأساسي من هذا الروتكيت هو إنشاء باب خلفي خفي ودائم داخل الأنظمة المستهدفة، يتم تفعيله عند وصول “حزمة سحرية” خاصة مصحوبة بكلمة مرور صحيحة، لبدء اتصال آمن عبر SSL. ما يجعل الأمر أكثر خطورة هو أن الباب الخلفي يمكن تنشيطه على أي منفذ، مما يعني أن أنظمة الحماية التقليدية مثل جدران النار قد لا تكون كافية لمنع الهجوم.
احتمالية تورط جهات صينية
ورغم أن البيانات يبدو أنها خرجت من محطة عمل افتراضية وخادم خاص افتراضي (VPS) تابع للمجموعة، إلا أن هناك مؤشرات على أن التسريب ربما يعود إلى جهة صينية مطلعة على تقنيات كيمسوكي وأساليب عملها. هذا الاحتمال يزيد من تعقيد المشهد، ويفتح تساؤلات حول الصراعات الخفية بين أطراف مختلفة في مجال التجسس السيبراني العالمي.
