باحثون يوثقون بالفيديو خدعة "لازاروس" لتوظيف المخترقين عن بُعد » مركز الأمن السيبراني للأبحاث والدراسات CCRS

حملة PurpleBravo الكورية الشمالية: استهداف آلاف العناوين عبر مقابلات عمل وهمية

كشفت تحقيقات أمنية مشتركة قادها ماورو إلدريتش، مؤسس شركة BCA LTD، بالتعاون مع مبادرة NorthScan الاستخباراتية ومنصة ANY.RUN لتحليل البرمجيات الخبيثة، عن واحدة من أكثر عمليات التسلل الإلكتروني تعقيدًا واستمرارية، تقف وراءها مجموعة “لازاروس” الكورية الشمالية، وتحديدًا جناحها المعروف باسم “تشوليما”.

للمرة الأولى، تمكن الباحثون من مراقبة عمل المخترقين مباشرة، بعد أن أوهموهم بأنهم يستخدمون حواسيب مطورين حقيقيين. في الواقع، كانت هذه الأجهزة بيئات افتراضية متقدمة أنشأتها منصة ANY.RUN، تحاكي حواسيب شخصية حقيقية بكل تفاصيلها، من سجل الاستخدام إلى أدوات التطوير ومسارات الاتصال عبر بروكسيات أمريكية.

كيف تبدأ الخدعة: وظيفة وهمية وهويات مسروقة

بدأت العملية عندما انتحل هاينر غارسيا من NorthScan شخصية مطور أمريكي، مستهدف من قبل مجند تابع لـ”لازاروس” يُدعى “آرون” أو “بليز”. عرض “بليز” وظيفة وهمية على المطور المزيف، في محاولة لتوظيفه كواجهة لتمرير عمال تكنولوجيا معلومات كوريين شماليين إلى شركات غربية، خاصة في قطاعات المال والعملات الرقمية والرعاية الصحية والهندسة.

تتبع الخطة نمطًا متكررًا: سرقة أو استعارة هوية، اجتياز مقابلات باستخدام أدوات ذكاء اصطناعي، العمل عن بُعد عبر جهاز الضحية، ثم تحويل الرواتب إلى كوريا الشمالية. وعندما طلب “بليز” الوصول الكامل إلى الجهاز، بما في ذلك رقم الضمان الاجتماعي، والهوية، وحسابات البريد وLinkedIn، بدأ الفريق المرحلة التالية من الفخ.

أدوات “تشوليما”: سيطرة كاملة دون برمجيات خبيثة

داخل البيئة الافتراضية، كشف الباحثون عن مجموعة أدوات فعالة تركز على السيطرة عن بُعد وسرقة الهوية، دون الحاجة إلى نشر برمجيات خبيثة. تضمنت الأدوات:

– تطبيقات ذكاء اصطناعي لتوليد إجابات مقابلات وتعبئة طلبات التوظيف تلقائيًا مثل Simplify Copilot وAiApply.
– مولدات رموز تحقق ثنائية عبر المتصفح مثل OTP.ee.
– Google Remote Desktop مهيأ عبر PowerShell برمز PIN ثابت.
– أوامر نظام لجمع معلومات الجهاز مثل dxdiag وwhoami.
– اتصال دائم عبر VPN من نوع Astrill المرتبط ببنية “لازاروس” التحتية.

في إحدى الجلسات، ترك المخترق رسالة في Notepad يطلب فيها من “المطور” تحميل هويته ورقم الضمان الاجتماعي ومعلوماته البنكية، مما يؤكد الهدف النهائي: السيطرة الكاملة على هوية الضحية وجهازه.

تحذير للشركات: التوظيف عن بُعد بوابة للاختراق

أصبحت عمليات التوظيف عن بُعد مدخلًا هادئًا لكنه فعّال للهجمات القائمة على سرقة الهوية. يستهدف المهاجمون الموظفين الأفراد بعروض عمل تبدو شرعية، وبمجرد اختراق أحدهم، يمتد الخطر ليشمل بيانات حساسة ولوحات تحكم داخلية وحسابات إدارية.

ينبغي على الشركات تعزيز الوعي الداخلي وتوفير قنوات آمنة للإبلاغ عن أي نشاط مريب، لتفادي الوقوع في فخاخ معقدة يصعب كشفها لاحقًا.

وسوم