الأمن السيبراني
#احتيال_العمالة
#كوريا_الشمالية
احتيال العمالة المدعومة من كوريا الشمالية يتوسع عالميًا
على مدار العام الماضي، استخدمت الحكومة الكورية الشمالية أدوات الذكاء الاصطناعي لنشر آلاف من عمال تكنولوجيا المعلومات المهرة في وظائف بشركات فورتشن 500 حول العالم، ثم استغلال وصولهم لإرسال الأموال والبيانات الحساسة إلى جمهورية كوريا الديمقراطية الشعبية.
أطلقت مايكروسوفت على أحدث حملة احتيال للعمالة المزيفة المدعومة من كوريا الشمالية اسم "Jasper Sleet"، والمعروفة أيضًا باسم "Storm-0287"، لتنضم إلى حلقات احتيال العمالة الأخرى المدعومة من كوريا الشمالية التي تُعرف بأسماء مثل "Storm-1877" و"Moonstone Sleet". في الواقع، كانت كوريا الشمالية تشارك في عمليات احتيال مشابهة منذ عام 2020، وفقًا لمايكروسوفت. لكن الاستخدام الأخير لأدوات الذكاء الاصطناعي سمح لهذه الحملات بالتوسع من حيث النطاق والتعقيد، وفقًا لتقرير من مايكروسوفت حول Jasper Sleet.
تم إصدار التحليل في نفس اليوم الذي أعلنت فيه وزارة العدل الأمريكية أنها قامت بتفكيك حلقة ضخمة من احتيال العمالة المدعومة من كوريا الشمالية في الولايات المتحدة، والتي مكنت الممثلين الكوريين الشماليين، بالإضافة إلى المتآمرين من الولايات المتحدة والصين والإمارات العربية المتحدة وتايوان، من الحصول على وظائف في أكثر من 100 منظمة أمريكية. وقالت السلطات إن العملية شملت تفكيك "مزارع اللابتوب"، واعتقالات وتهم عبر 16 ولاية، ومصادرة 29 حسابًا مصرفيًا، وإغلاق 21 موقعًا ضارًا. وذكرت وزارة العدل أن رواتب هؤلاء العمال المزيفين، بالإضافة إلى أي بيانات يمكنهم سرقتها، كانت تُرسل إلى كوريا الشمالية في مخطط لتجنب العقوبات العالمية، مما أدى إلى خسائر تقدر بحوالي 3 ملايين دولار للمنظمات الأمريكية.
تتوقع مايكروسوفت أن هذه مجرد البداية.
قال تقرير مايكروسوفت: "تاريخيًا، كانت خطة العمالة الاحتيالية عن بُعد لكوريا الشمالية تركز على استهداف الشركات الأمريكية في قطاعات التكنولوجيا والتصنيع الحيوي والنقل. ومع ذلك، لاحظنا تطور العمالة عن بُعد الكورية الشمالية لتوسيع نطاقها لاستهداف صناعات مختلفة عالميًا تقدم أدوارًا مرتبطة بالتكنولوجيا".
وبالمثل، في يناير، قامت مكتب التحقيقات الفيدرالي بتفكيك حلقة احتيال عمالية مدعومة من كوريا الشمالية كانت تستخدم مزرعة لابتوب في ولاية كارولينا الشمالية يديرها أمريكي لمساعدة هؤلاء المهاجمين على الظهور كمقيمين في الولايات المتحدة للحصول على وظائف في 64 شركة أمريكية على الأقل بين أبريل 2018 وأغسطس 2024.
'أرباب العمل غير مستعدين'
مع تحسن أدوات الذكاء الاصطناعي، لن تحتاج هذه المخططات العمالية حتى إلى الاعتماد على مزارع اللابتوب المادية، وفقًا لجوشوا مكينتي، الرئيس التنفيذي لشركة Polyguard والرئيس السابق لمهندسي السحابة في ناسا. وقال إن ذلك سيجعل من السهل تنفيذها وأكثر صعوبة في الكشف عنها.
قال مكينتي في بيان: "مع تطور كوريا الشمالية في أساليبها، من المحتمل أن تختفي الحاجة إلى 'مزارع اللابتوب'. هذه مجرد البداية. أرباب العمل غير مستعدين - الوثائق الهوية المعدلة بواسطة الذكاء الاصطناعي التي يستخدمها الكوريون الشماليون ستنجح في اجتياز فحوصاتهم السطحية".
اليوم، باستخدام مزيج من أدوات الذكاء الاصطناعي، وتقنية تغيير الصوت، والشبكات الافتراضية الخاصة، وأدوات المراقبة عن بُعد، تمكن المهاجمون المدعومون من كوريا الشمالية، الذين يتواجد معظمهم في كوريا الشمالية والصين وروسيا، من إخفاء مواقعهم وهوياتهم وتجاوز خطوات التحقق التقليدية للعمالة. حتى بعد التوظيف، وجدت تحليلات مايكروسوفت أنهم قد يكونون صعبين في الكشف.
قال التقرير: "في بعض الحالات، أفادت المنظمات الضحية أن عمال تكنولوجيا المعلومات عن بُعد كانوا من بين أكثر موظفيهم موهبة". "تاريخيًا، كانت هذه العملية تركز على التقدم لوظائف في تكنولوجيا المعلومات وتطوير البرمجيات والمناصب الإدارية في قطاع التكنولوجيا. توفر هذه المناصب للمهاجمين الكوريين الشماليين الوصول إلى معلومات حساسة للغاية لسرقة المعلومات والابتزاز، من بين عمليات أخرى."
تمكن هؤلاء الموظفون المزيفون من إنشاء أو سرقة هويات كاملة، ومطابقة بيانات الموقع الجغرافي مع أصحاب العمل المستهدفين، واختراع حسابات وسائل التواصل الاجتماعي كاملة مليئة بمحافظ العمل على LinkedIn وملفات تعريف على منصات المطورين مثل GitHub، كما وجدت مايكروسوفت. تجعل أدوات الذكاء الاصطناعي هذه التكتيكات أكثر إقناعًا من خلال توليد الصور بسهولة وتوفير برامج تغيير الصوت لهؤلاء المهاجمين للتفاعل في الوقت الحقيقي.
أفادت مايكروسوفت أن تحليلاتها اكتشفت مجموعة من المستندات المستخدمة من قبل هذه العمليات الكورية الشمالية في أكتوبر 2024، مليئة بالصور المعززة بالذكاء الاصطناعي لعمال تكنولوجيا المعلومات الكوريين الشماليين المشتبه بهم جنبًا إلى جنب مع السير الذاتية، وحسابات البريد الإلكتروني، وحسابات خادم افتراضي خاص (VPS) وVPN مريبة، بالإضافة إلى عناوين IP محددة لـ VPS. كما وجدوا كتيبات تحتوي على تعليمات حول كيفية سرقة الهويات، وتفاصيل المحفظة والدفع؛ معلومات حسابات وسائل التواصل الاجتماعي؛ وورقة تتبع للعمل المنجز من قبل عمال تكنولوجيا المعلومات، ورواتبهم.
أضاف تقرير مايكروسوفت: "استنادًا إلى مراجعتنا للمستودع، يبدو أن عمال تكنولوجيا المعلومات الكوريين الشماليين يقومون بسرقة الهوية ثم يستخدمون أدوات الذكاء الاصطناعي مثل Faceswap لنقل صورهم إلى الوثائق الوظيفية والهوية المسروقة". "يستخدم المهاجمون أيضًا هذه الأدوات لتصوير العمال ونقلهم إلى بيئات تبدو أكثر احترافية. ثم يستخدم هؤلاء العمال الصور المولدة بواسطة الذكاء الاصطناعي في سير ذاتية أو ملفات تعريف عند التقدم لوظائف."
أضافت مايكروسوفت أن تحليلها لم يجد أي مهاجم يستخدم الذكاء الاصطناعي لتوليد صوت وفيديو معًا، لكنها تحذر من أن ذلك سيجعل هذه الاحتيالات أكثر صعوبة في الكشف.
أضافت مايكروسوفت: "بينما لم نشهد المهاجمين يستخدمون منتجات الذكاء الاصطناعي المدمجة للصوت والفيديو كتكتيك بشكل مباشر، فإننا ندرك أن دمج هذه التقنيات يمكن أن يسمح لحملات المهاجمين المستقبلية بخداع المحاورين للاعتقاد بأنهم لا يتواصلون مع عامل تكنولوجيا معلومات كوري شمالي". "إذا نجحت هذه التكتيك، فقد يسمح ذلك لعمال تكنولوجيا المعلومات الكوريين الشماليين بإجراء المقابلات مباشرة وعدم الاعتماد بعد الآن على الوسطاء الذين يمثلونهم في المقابلات أو يبيعون لهم الوصول إلى الحسابات."
سيتعين على المنظمات الانتقال إلى أدوات تحقق متقدمة من الهوية للمرشحين المحتملين للدفاع ضد هذه الحملات الكورية الشمالية المتوسعة، كما نصح مكينتي من Polyguard.
أضاف: "يحتاج الأعمال إلى اعتماد أدوات تحقق متقدمة من الهوية يمكن أن توفر إثباتًا للموقع باستخدام بيانات GPS وGSM، بالإضافة إلى ضمانات الحضور التي تمنع استخدام تسجيلات الدخول عن بُعد". "بينما لا يزال 'تتبع المال' نهجًا قياسيًا لتتبع هذه الجرائم، من المرجح أن تستفيد المبادرات الأوسع للتحقق من الهوية التي تتعامل أيضًا مع ما يسمى بـ 'التوظيف المشترك' وأشكال أخرى من الاحتيال في الهوية بين الموظفين، بما في ذلك 'مرشحي الوكيل'. لا تلتقط فحوصات الخلفية القياسية هذه الجرائم، بفضل الاحتيال في الوثائق من الجيل التالي 'الهجين'، الذي يستفيد من تقنية التزييف العميق."
يقول تايلور لون، المحلل الأول في مجموعة استخبارات التهديدات في جوجل، إن التحدي يتطلب استجابة موحدة من فرق التوظيف والموارد البشرية وتكنولوجيا المعلومات والأمن.
ويضيف لون: "يجب على المديرين وفرق الأمن أن يقوموا بتدريب أفضل لأقسام الموارد البشرية على كيفية اكتشاف تناقضات المرشحين وتعليمهم التكتيكات والإجراءات العامة (TTPs) الخاصة بعمال تكنولوجيا المعلومات الكوريين الشماليين، بالإضافة إلى تنفيذ ضوابط تقنية لاكتشاف TTPs الشائعة التي يستخدمها المهاجمون".
كما ينصح لون بالتأكد من أن الأسماء ومعلومات الاتصال والتفاصيل الشخصية الأخرى متسقة عبر ملف كل متقدم؛ ومتابعة تثبيت البرمجيات لرصد الأنشطة المشبوهة، خاصة خلال الـ 48 ساعة الأولى من العمل، بما في ذلك استخدام الشبكات الافتراضية الخاصة (VPNs) وبرامج تحريك الفأرة؛ واستخدام مصادقة متعددة العوامل تعتمد على الأجهزة للوصول الفعلي إلى الأجهزة المؤسسية؛ وطلب من الموظف التحقق من رقم تسلسل اللابتوب عند الانضمام إلى قسم تكنولوجيا المعلومات.
يقول لون: "يجب أن تكون هذه المعلومات متاحة بسهولة لأي شخص يمتلك الجهاز المؤسسي بشكل فعلي". "ويجب فرض إجراء المقابلات عبر الكاميرا للتحقق من الهوية ومراقبة السلوك. في بعض الحالات، يظهر عمال تكنولوجيا المعلومات من كوريا الشمالية ترددًا في الانخراط في مكالمات الفيديو".
كما يؤكد لون على أهمية تبادل المعلومات بين بائعي الأمن للبقاء على اطلاع بأحدث الاحتيالات وكيفية الدفاع ضدها.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!