كيف تبني كوريا الشمالية ترسانتها النووية؟
في 19 يناير/كانون الثاني 2024، تلقى عدد من المهندسين العاملين بإحدى المؤسسات النووية في البرازيل عروضًا وظيفية، أُرسلت عبر منصاتهم المهنية المختلفة (مثل لينكد إن، وغيت هب)، تضمنت مرتبات مجزية وفرصًا مهنية متقدمة، فضلا عن كونها مقدمة من قبل شركات عالمية مرموقة، يتعاون بعضها مع جهات حكومية رفيعة المستوى.
كانت العروض مصاغة بعناية؛ درجة احتوائها على التوقيعات الحقيقية لمديري الموارد البشرية العاملين في تلك الشركات، وبدا كلُّ شيء طبيعيا، إلى أن طُلب من المهندسين خوض تقييم مهارات ضمن الخطوات التوظيفية.
لكن الملفات المُرسلة لهذا الغرض لم تكن إلا فخًّا أعدته بإتقان وحدة قرصنة سيبرانية، تُعرف باسم "الكوبرا الخفية" أو "مجموعة لازاروس" (Lazarus Group)، تتبع المكتب الثالث في جهاز الاستطلاع الكوري الشمالي (RGB)، وهو أهم جهاز استخبارات عسكري في البلاد، ويعدّ القوة الرئيسية خلف معظم العمليات السيبرانية الهجومية التي تقوم بها بيونغ يانغ.
وبمجرد استقبالهم هذه الملفات، تم تفعيل عدوى رقمية معقدة، تعتمد على نشر برمجية باب خلفي معياري جديد، يُشار إليها باسم "كوكيز بلس"، قادرة على التخفي في صورة مكوّن إضافي مفتوح المصدر لتطبيقات مألوفة مثل "نوت باد" (++Notepad)، بحيث يصعب رصدها على المُستخدم أو الأنظمة الأمنية العادية، في حين تعمل هذه البرمجية على تنفيذ أوامر المُشغِّل عن بُعد مع سماحها بتنقله بين أجهزة الشبكة المستهدفة، وفق ما كشفه تقرير فريق البحث والتحليل التابع لشركة "كاسبرسكي"، المتخصصة في خدمات الأمن الإلكتروني.
كما ربط تقرير "كاسبرسكي" تلك الهجمات بحملة تجسس إلكتروني طويلة الأمد، يُشرف عليها جهاز الاستطلاع الكوري الشمالي، وتُعرف باسم "عملية وظيفة الأحلام"، نظرًا لأنها تتخذ شكلا من أشكال "الهندسة الاجتماعية" خلال استهدافها العاملين في مختلف المؤسسات، بما فيها قطاعات الدفاع والفضاء والعملات المشفّرة، حيث تبدأ برسائل توظيف وهمية أو الإبلاغ عن تحديثات أمنية مزيفة، لكنها تؤدي في النهاية إلى نشر برمجيات ضارة على أجهزتهم، تمكّن المُشغِّل من الاطلاع على كافة المعلومات المخزنة عليها والتحكم فيها.
علاوة على ذلك، تستهدف الهجمات السيبرانية الكورية الشمالية سلاسل التوريد في أحيان أخرى، حيث تتم مهاجمة المزوِّدين التقنيين لبعض المؤسسات الحيوية، بما يتيح زرع برمجيات خبيثة ضمن البرامج التي تعتمد عليها تلك المؤسسات؛ ويمكّن المُشغِّل من اختراق أنظمتها، مثلما ورد في الحالة المذكورة سلفا.
وقد تم رصد هذه الحملة للمرة الأولى في عام 2019، حين استهدفت الوحدة آنذاك شركات عالمية عدة مرتبطة بقطاع العملات المشفرة، لكن الهجمات الأخيرة تكشف عن توسعها في الوقت الحالي تجاه شركات تكنولوجيا المعلومات والدفاع في أوروبا وأميركا اللاتينية وكوريا الجنوبية، وعلى الأخص، تلك المتعلقة بمجال الطاقة النووية.
دعمًا لقدرات بيونغ يانغ النووية.. بالمال والمعلومات
وبحسب وزارة الخزانة الأميركية، ثمة مجموعتان فرعيتان تعملان تحت "لازاروس"، وتؤديان -بشكلٍ ما- أدوارًا تكاملية في دعم قدرات بيونغ يانغ النووية، وهما: بلونوروف وأندارييل.
تم تشكيل الأولى بغرض تجاوز أثر العقوبات الاقتصادية المفروضة على كوريا الشمالية عبر كسب إيرادات بصورة غير قانونية، ومن ثم استخدامها في تمويل برامج الصواريخ الباليستية لبيونغ يانغ وأسلحتها النووية. ووفقا لذلك، تنشط بلونوروف بالأساس في المهام المتعلقة بالسطو الإلكتروني ضد المؤسسات المالية الأجنبية، وتعدّ واحدة من أنجح المجموعات في شنّ هجمات واسعة النطاق ضد القطاع المالي.
رُصدت بلونوروف للمرة الأولى في عام 2014، حينما تحوّل جزء من جهود بيونغ يانغ السيبرانية نحو تحقيق مكاسب مالية، مع الإبقاء على طبيعة الأنشطة السيبرانية الأخرى المختصة بالحصول على المعلومات العسكرية أو ترهيب الخصوم.
وبحلول عام 2018، تمكّنت المجموعة من تنفيذ العديد من عمليات السطو الإلكتروني الناجحة، استهدفت خلالها 16 مؤسسة في 11 دولة، بما فيها نظام المراسلة "سويفت" وبورصات العملات المشفرة ومؤسسات مالية أجنبية عدة.
ويعدّ هجومها السيبراني على البنك المركزي لبنغلاديش في فبراير/شباط 2016، واحدًا من أكثر أنشطتها شهرة، حيث سرقت بلونوروف قرابة 81 مليون دولار من حساب الاحتياطي الفيدرالي التابع للبنك، وذلك عبر استغلال ثغرات في نظام "سويفت" المستخدم للتحويلات المالية الدولية، وباستخدام برامج ضارة مشابهة لتلك المستخدمة سابقا في هجوم قراصنة كوريا الشمالية على شركة "سوني بيكتشرز"، في حين تربط تقارير صادرة مؤخرًا، بين مجموعة "لازاروس" وعملية اختراق منصة العملات المشفرة "بايبت" (Bybit) في فبراير/شباط الماضي، وأسفرت عن خسارة نحو 1.5 مليار دولار من الأصول الرقمية، مما يجعلها أكبر عملية سرقة للعملات المشفرة في التاريخ.
أما المجموعة الفرعية الثانية "أندارييل"، فينصب تركيزها في المقام الأول على الكيانات الدفاعية والفضائية والنووية والهندسية، بغرض الحصول على معلومات فنية وفكرية سريّة لتعزيز برامج النظام وطموحاته العسكرية والنووية. كما تهتم المجموعة -بدرجة أقل- بقطاعي الصناعات الطبية والطاقة، لكن هذا الاهتمام تحرّكه دوافع مالية في المقام الأول، أي أنه -غالبًا- ليس بغرض الحصول على معلومات.
وتستهدف "أندارييل" بشكلٍ أساسي جارتها كوريا الجنوبية، لأغراض التجسس والوقوف على مستوى التحديثات العسكرية، فضلا عن محاولات التخريب الإلكتروني والتلاعب المعلوماتي الساعية لخلق حالة فوضى، وذلك عبر الوصول سرًّا إلى أنظمة المعلومات وتغيير عناصر بيانات رئيسية دون اكتشافها، بحسب ما يشير إليه تقرير صادر عن الجيش الأميركي في يوليو/تموز 2020.
وتوفر هذه التقنية إمكانيات لا حصر لها، منها على سبيل المثال: القدرة على تغيير بيانات مواقع وحدات الخصم وجنوده أثناء المعركة، بما يجعلهم يعتقدون أنهم في المكان الصحيح بينما هم ليسوا كذلك في الواقع، أو يدفعهم إلى اعتبار وحدات أخرى من جيشهم قوات معادية.
كما يمكن أن يؤدي هذا التلاعب إلى إجبار نظام على أداء وظيفة لم تكن مخصصة له، مثل إنشاء معلومات خاطئة في نظام الاستهداف أو التحكم في المجال الجوي، وتضليل أجهزة التوجيه والاستشعار، وهي عموما تكتيكات تعمل على تخبّط قوات العدو في ساحة المعركة.
جدير بالذكر أن مجموعة "أندارييل" نجحت عام 2016 في اقتحام الحاسوب الشخصي لوزير الدفاع الكوري الجنوبي، كما تمكنت من اختراق الشبكة الداخلية لوزارة الدفاع والحصول على كمّ هائل من البيانات، بلغت نحو 235 غيغابايت داخل نحو 300 وثيقة سرية، تشمل خطط طوارئ سريّة للحرب وضعتها الولايات المتحدة وكوريا الجنوبية بشكل مشترك، حسب التقارير التي أشارت إلى أن إحدى هذه الخطط تضمن اغتيال الزعيم الكوري الشمالي كيم جونغ أون في حال اندلاع حرب في شبه الجزيرة الكورية، وهي الخطة التي يُشار إليها باسم "قطع الرأس".
التحول في النشاط يعكس اهتمامات النظام الكوري
على جانب آخر، فإن تقييم شركة "مانديانت" الأميركية التابعة لغوغل والمتخصصة في مجال الأمن السيبراني، يُعرِّف "أندارييل" على أنها "التهديد المستمر المتقدم رقم 45" (APT-45)، ويشير إلى انخراطها في عمليات التجسس الإلكتروني منذ عام 2009، وهو العام ذاته الذي شهد إنشاء مكتب الاستطلاع العام.
وترى "مانديانت" أن التحولات التي ترافق أنشطة "أندارييل" (من حيث طبيعة الأهداف)، تعكس الأولويات الجيوسياسية المتغيرة للنظام في كوريا الشمالية. فرغم تركيز المجموعة الملحوظ على الوكالات الحكومية وصناعات الدفاع بدءًا من عام 2017، فإن نشاطها فيما تلا ذلك (خلال عام 2019) يتماشى مع اهتمام بيونغ يانغ بالقضايا النووية، بينما رُصد تحولٌ في نشاط المجموعة عام 2024 نحو العمليات ذات الدوافع المالية، بغرض توليد الأموال للإنفاق على أولويات النظام الكوري، وعلى رأسها البرنامج النووي، حيث يعتقد مراقبون من الأمم المتحدة أن عائدات الهجمات الإلكترونية التي يُشتبه أن النظام نفذها بين عامي 2017 و2023، استخدمت في تحسين ترسانته النووية وتوسعتها.
ويختلف أسلوب "أندارييل" عن المُشغلين الكوريين الآخرين في الهجمات ذات الدوافع المالية، حيث تبدي المجموعة اهتماما بإجراء هذه العمليات من خلال برامج الفدية، وذلك عبر تشفير بيانات الأجهزة المستهدفة، ثم ابتزاز الضحايا لدفع مقابل مالي لقاء فكّ التشفير عن أجهزتهم، مثلما جرى في عام 2022، حين استهدفت المجموعة مؤسسات الرعاية الصحية في اليابان والولايات المتحدة عبر برنامج الفدية "ماوي" (Maui)، فيما يُعتقد أن الوحدة حققت بهذا الأسلوب أكثر من 3 مليارات دولار من الأرباح غير المشروعة بين عامي 2017 و2023.
وإجمالا، تشير التقديرات إلى أن "لازاروس" سرقت ما لا يقل عن 3.4 مليارات دولار من العملات المشفرة منذ ظهورها عام 2007، وهو ما يمثل مصدرا مهما لإيرادات النظام في كوريا الشمالية.
وبحسب وكالة الدفاع السيبراني الأميركية، استهدفت "أندارييل" قطاعات الدفاع والفضاء والطاقة النووية والهندسة في بلدان عدة من أوروبا والأميركيتين وآسيا، بينما يشير المركز الأميركي للدراسات الدولية والاستراتيجية إلى أن الوحدة وجّهت جزءا كبيرا من نشاطها ضد الكيانات النووية منذ عام 2019، حيث تمكّنت في ذلك العام من اختراق محطة كودانكولام للطاقة النووية في الهند عبر برمجية خبيثة معروفة باسم "دي تراك" (Dtrack)، قادرة على تسجيل ضغطات المفاتيح ومسح الشبكات المتصلة ومراقبة العمليات النشطة على الحواسيب المصابة، وقد تم العثور على عناصر من البرمجية ذاتها في هجمات ذات صلة بمجموعة "أندارييل".
ويؤكد مايكل بارنهارت، المحلل الرئيسي الذي يقود تحريات "مانديانت" في كوريا الشمالية، أن العديد من التطورات في قدرات بيونغ يانغ العسكرية خلال السنوات الأخيرة، بما فيها تلك المتعلقة ببرنامجها النووي؛ يمكن أن تُعزى بشكلٍ مباشر إلى جهود التجسس الناجحة لمجموعة "أندارييل" ضد الحكومات والمنظمات الدفاعية في جميع أنحاء العالم.
فالوحدة تمكّنت من الحصول على مجموعة من الخطط الحساسة ذات الصلة بالمشروع النووي لكوريا الشمالية، ومن ضمنها معلومات تتعلق بمعالجة اليورانيوم وتخصيبه، وأخرى ترتبط بالمرافق النووية الحكومية ومعاهد البحوث ونفايات المواد وطُرق تخزينها، فضلا عن مخططات لتصاميم الصواريخ وأنظمة الدفاع الصاروخي التي تدعم بشكل مباشر قدرات بيونغ يانغ النووية.
التهور النافع
وفي السياق ذاته، أظهرت التحقيقات الأميركية تورط مجموعة "أندارييل" في اختراق طويل الأمد لوكالة الفضاء الأميركية "ناسا"، تمكّنت خلاله من استخراج ما يزيد عن 17 غيغابايت من بيانات غير مصنفة، تضمنت مكونات برمجية ومعلومات تتعلق بتقنيات الملاحة والتوجيه، وهي أنظمة ترتبط بشكل مباشر بتطبيقات الصواريخ والمركبات الجوية.
ويُرجَّح أن هذه المعطيات أُرسلت مباشرة إلى جهاز الاستخبارات الكوري الشمالي، بغرض دعم جهود تطوير أنظمة أكثر دقة على مستوى الاستهداف الصاروخي.
وبموازاة "لازاروس"، ثمة وحدة قرصنة سيبرانية أخرى تابعة لجهاز الاستطلاع العام تُعرف باسم "كيمسوكي" (APT-43)، ويُعتقد أنها مسؤولة عن عملية اختراق الشبكة الداخلية لمعهد أبحاث الطاقة الذرية في كوريا الجنوبية عام 2021. والمعهد هو منظمة حكومية لإجراء أبحاث حول الطاقة النووية وتكنولوجيا الوقود النووي.
كما يُعتقد أن وحدة "كيمسوكي" كانت وراء عملية اختراق بيانات شركة "كوريا للطاقة المائية والنووية" عام 2014، وهي الشركة المسؤولة عن إدارة 23 مفاعلا نوويا في كوريا الجنوبية. ورغم انعدام ما يؤكد اختراق أنظمة التحكم النووي في الشركة، فإن الهجوم أسفر عن تسريب بيانات تتعلق بتصاميم مفاعلين نوويين على الأقل، فضلا عن مخططات تدفق الكهرباء وتقديرات التعرض للإشعاع بين السكان المحليين.
وفي وقت لاحق، كشفت تقارير إعلامية في كوريا الجنوبية عن نجاح هذه المجموعات في التسلل إلى 83 شركة تصنيع دفاعي في البلاد بين عامي 2022 و2023، والحصول على بيانات سرية من نحو 10 شركات منها.
وتتسم وحدات القرصنة السيبرانية في كوريا الشمالية بنوع من التهور مقارنة بنظرائها في دول مثل روسيا والصين، وفقا لتحليلات "مؤسسة ضمان المعلومات البريطانية" (NCC). ويرتبط ذلك بانعدام خشيتهم من الإقصاء أو المعاقبة، وغياب ما يعيقهم عن أداء مهامهم، نظرًا لأن بلادهم ليست حساسة للضغوط الخارجية، ولا تبدي نية امتثال لأي قواعد مقبولة دوليًّا، على عكس النماذج الصينية أو الروسية التي تُدار -نوعًا ما- بميزان الحذر السياسي.
وأحد أدلة ذلك هو الاختفاء المفاجئ لبعض مجموعات الفدية الروسية، مثل مجموعتي "دارك سايد" و"ريفل" بعد شنهما هجمات برامج فدية تخريبية، بما يمكن اعتباره نوعا من المراجعة وقبول الضغوط الأميركية السياسية من جانب موسكو.
وتمنح هذه الحرية مجالا للوحدات الكورية في تحقيق أهدافا أكبر، مقارنة بمنافسيهم الذين ينتمون إلى جهات حكومية فاعلة في دول أخرى. وبحسب "مؤسسة ضمان المعلومات"، يتم تجنيد أفراد هذه الوحدات وتدريبهم في سنّ مبكرة (مع بلوغهم سن 11 تقريبا)، ويجري اختيارهم من بين آلاف الشباب في كوريا الشمالية، ويمنحون في مقابل ذلك امتيازات عدة، مثل الشقق الفسيحة والإعفاء من الخدمة العسكرية.
وجه آخر للردع
وإجمالا، يساهم ذلك في نمو ترسانة كوريا الشمالية النووية من خلال محاور عدة، أولها: تقليص فجوة التجريب والمعرفة التقنية، نظرًا لأن بيونغ يانغ تتمكن من تقليد النماذج الأخرى واستنساخها، دون المرور بمراحل مكلفة -زمنيا وماديا- من التجريب الميداني، كما يدعم توفير بدائل تقنية محلية استنادًا إلى البيانات المسروقة، ويمنح بيونغ يانغ فهمًا لكيفية تصميم النظم النووية الغربية من الداخل، فضلا عن تأمين التمويل الذي توفره هجمات الفدية والسطو الإلكتروني، بما يساعد النظام على تجاوز تأثير العقوبات المفروضة عليه والاستمرار في مراكمة أسلحة الردع النووي.
بل وأبعد من ذلك، إذ يشير خبير الأمن القومي الأميركي والمستشار السابق للبيت الأبيض، ريتشارد كلارك، إلى وجه آخر من التهديد والردع، يُمكن أن يتشكّل من خلال العلاقة بين أنشطة القرصنة السيبرانية والأسلحة النووية، نظرًا لأن أي هجوم سيبراني ناجح على نظام أسلحة نووية، قد يؤدي إلى نوع من سوء التقدير، ومن ثم التسبب في تفجير نووي مدمر.
ويطرح كلارك 3 سيناريوهات محتملة في هذا الصدد، حيث يمكن لأي جهة فاعلة مجهولة أن تتدخل في أنظمة القيادة والتحكم النووي لدولة ما، وتحفيزها على إطلاق سلسلة غير مقصودة وخطيرة من الإجراءات وردود الفعل.
وبإمكان المتسلل أيضا انتحال نظام الإنذار المبكر في أنظمة دولة نووية، بما يؤدي إلى الاعتقاد بأن الدولة تتعرض للهجوم. ومع وجود دقائق قليلة فقط لتقرير ما إذا كانت الدولة ستستخدم أسلحتها النووية ردًّا على هذا الهجوم الوهمي، فإن ثمة فرصة لسوء التقدير واشتعال حرب نووية بناء على ذلك.
أما الاحتمال الثالث، وهو الأسوأ، فيتمثل في هجوم سيبراني على نظام اتصالات أو عنصر آخر من عناصر البنية التحتية للأسلحة النووية، بما يجعل الدولة غير قادرة على إبقاء أسلحتها تحت السيطرة، ويعطي للمتسلل فرصة التحكم بها عن بُعد. وثمة قاعدة تقول: إن اختراق نظام نووي واحد فقط في أي مكان، يخلق خطرا نوويا في كل مكان.
والخلاصة، أن الحالة الكورية تُظهر كيف يمكن للفضاء السيبراني أن يعيد تشكيل منطق الردع التقليدي، إذ يمكن للدولة أن تحقق تقدمًا نوويًا بأقل تكلفة، أو أن تعطل أنظمة الخصم النووية دون إطلاق رصاصة، كما أن التداخل بين أنظمة القيادة التقليدية والسيبرانية يزيد من احتمالية الخطأ أو التصعيد غير المقصود.
هاشتاغز
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
الجزيرة
٠٣-٠٥-٢٠٢٥
- الجزيرة
كيف تبني كوريا الشمالية ترسانتها النووية؟
في 19 يناير/كانون الثاني 2024، تلقى عدد من المهندسين العاملين بإحدى المؤسسات النووية في البرازيل عروضًا وظيفية، أُرسلت عبر منصاتهم المهنية المختلفة (مثل لينكد إن، وغيت هب)، تضمنت مرتبات مجزية وفرصًا مهنية متقدمة، فضلا عن كونها مقدمة من قبل شركات عالمية مرموقة، يتعاون بعضها مع جهات حكومية رفيعة المستوى. كانت العروض مصاغة بعناية؛ درجة احتوائها على التوقيعات الحقيقية لمديري الموارد البشرية العاملين في تلك الشركات، وبدا كلُّ شيء طبيعيا، إلى أن طُلب من المهندسين خوض تقييم مهارات ضمن الخطوات التوظيفية. لكن الملفات المُرسلة لهذا الغرض لم تكن إلا فخًّا أعدته بإتقان وحدة قرصنة سيبرانية، تُعرف باسم "الكوبرا الخفية" أو "مجموعة لازاروس" (Lazarus Group)، تتبع المكتب الثالث في جهاز الاستطلاع الكوري الشمالي (RGB)، وهو أهم جهاز استخبارات عسكري في البلاد، ويعدّ القوة الرئيسية خلف معظم العمليات السيبرانية الهجومية التي تقوم بها بيونغ يانغ. وبمجرد استقبالهم هذه الملفات، تم تفعيل عدوى رقمية معقدة، تعتمد على نشر برمجية باب خلفي معياري جديد، يُشار إليها باسم "كوكيز بلس"، قادرة على التخفي في صورة مكوّن إضافي مفتوح المصدر لتطبيقات مألوفة مثل "نوت باد" (++Notepad)، بحيث يصعب رصدها على المُستخدم أو الأنظمة الأمنية العادية، في حين تعمل هذه البرمجية على تنفيذ أوامر المُشغِّل عن بُعد مع سماحها بتنقله بين أجهزة الشبكة المستهدفة، وفق ما كشفه تقرير فريق البحث والتحليل التابع لشركة "كاسبرسكي"، المتخصصة في خدمات الأمن الإلكتروني. كما ربط تقرير "كاسبرسكي" تلك الهجمات بحملة تجسس إلكتروني طويلة الأمد، يُشرف عليها جهاز الاستطلاع الكوري الشمالي، وتُعرف باسم "عملية وظيفة الأحلام"، نظرًا لأنها تتخذ شكلا من أشكال "الهندسة الاجتماعية" خلال استهدافها العاملين في مختلف المؤسسات، بما فيها قطاعات الدفاع والفضاء والعملات المشفّرة، حيث تبدأ برسائل توظيف وهمية أو الإبلاغ عن تحديثات أمنية مزيفة، لكنها تؤدي في النهاية إلى نشر برمجيات ضارة على أجهزتهم، تمكّن المُشغِّل من الاطلاع على كافة المعلومات المخزنة عليها والتحكم فيها. علاوة على ذلك، تستهدف الهجمات السيبرانية الكورية الشمالية سلاسل التوريد في أحيان أخرى، حيث تتم مهاجمة المزوِّدين التقنيين لبعض المؤسسات الحيوية، بما يتيح زرع برمجيات خبيثة ضمن البرامج التي تعتمد عليها تلك المؤسسات؛ ويمكّن المُشغِّل من اختراق أنظمتها، مثلما ورد في الحالة المذكورة سلفا. وقد تم رصد هذه الحملة للمرة الأولى في عام 2019، حين استهدفت الوحدة آنذاك شركات عالمية عدة مرتبطة بقطاع العملات المشفرة، لكن الهجمات الأخيرة تكشف عن توسعها في الوقت الحالي تجاه شركات تكنولوجيا المعلومات والدفاع في أوروبا وأميركا اللاتينية وكوريا الجنوبية، وعلى الأخص، تلك المتعلقة بمجال الطاقة النووية. دعمًا لقدرات بيونغ يانغ النووية.. بالمال والمعلومات وبحسب وزارة الخزانة الأميركية، ثمة مجموعتان فرعيتان تعملان تحت "لازاروس"، وتؤديان -بشكلٍ ما- أدوارًا تكاملية في دعم قدرات بيونغ يانغ النووية، وهما: بلونوروف وأندارييل. تم تشكيل الأولى بغرض تجاوز أثر العقوبات الاقتصادية المفروضة على كوريا الشمالية عبر كسب إيرادات بصورة غير قانونية، ومن ثم استخدامها في تمويل برامج الصواريخ الباليستية لبيونغ يانغ وأسلحتها النووية. ووفقا لذلك، تنشط بلونوروف بالأساس في المهام المتعلقة بالسطو الإلكتروني ضد المؤسسات المالية الأجنبية، وتعدّ واحدة من أنجح المجموعات في شنّ هجمات واسعة النطاق ضد القطاع المالي. رُصدت بلونوروف للمرة الأولى في عام 2014، حينما تحوّل جزء من جهود بيونغ يانغ السيبرانية نحو تحقيق مكاسب مالية، مع الإبقاء على طبيعة الأنشطة السيبرانية الأخرى المختصة بالحصول على المعلومات العسكرية أو ترهيب الخصوم. وبحلول عام 2018، تمكّنت المجموعة من تنفيذ العديد من عمليات السطو الإلكتروني الناجحة، استهدفت خلالها 16 مؤسسة في 11 دولة، بما فيها نظام المراسلة "سويفت" وبورصات العملات المشفرة ومؤسسات مالية أجنبية عدة. ويعدّ هجومها السيبراني على البنك المركزي لبنغلاديش في فبراير/شباط 2016، واحدًا من أكثر أنشطتها شهرة، حيث سرقت بلونوروف قرابة 81 مليون دولار من حساب الاحتياطي الفيدرالي التابع للبنك، وذلك عبر استغلال ثغرات في نظام "سويفت" المستخدم للتحويلات المالية الدولية، وباستخدام برامج ضارة مشابهة لتلك المستخدمة سابقا في هجوم قراصنة كوريا الشمالية على شركة "سوني بيكتشرز"، في حين تربط تقارير صادرة مؤخرًا، بين مجموعة "لازاروس" وعملية اختراق منصة العملات المشفرة "بايبت" (Bybit) في فبراير/شباط الماضي، وأسفرت عن خسارة نحو 1.5 مليار دولار من الأصول الرقمية، مما يجعلها أكبر عملية سرقة للعملات المشفرة في التاريخ. أما المجموعة الفرعية الثانية "أندارييل"، فينصب تركيزها في المقام الأول على الكيانات الدفاعية والفضائية والنووية والهندسية، بغرض الحصول على معلومات فنية وفكرية سريّة لتعزيز برامج النظام وطموحاته العسكرية والنووية. كما تهتم المجموعة -بدرجة أقل- بقطاعي الصناعات الطبية والطاقة، لكن هذا الاهتمام تحرّكه دوافع مالية في المقام الأول، أي أنه -غالبًا- ليس بغرض الحصول على معلومات. وتستهدف "أندارييل" بشكلٍ أساسي جارتها كوريا الجنوبية، لأغراض التجسس والوقوف على مستوى التحديثات العسكرية، فضلا عن محاولات التخريب الإلكتروني والتلاعب المعلوماتي الساعية لخلق حالة فوضى، وذلك عبر الوصول سرًّا إلى أنظمة المعلومات وتغيير عناصر بيانات رئيسية دون اكتشافها، بحسب ما يشير إليه تقرير صادر عن الجيش الأميركي في يوليو/تموز 2020. وتوفر هذه التقنية إمكانيات لا حصر لها، منها على سبيل المثال: القدرة على تغيير بيانات مواقع وحدات الخصم وجنوده أثناء المعركة، بما يجعلهم يعتقدون أنهم في المكان الصحيح بينما هم ليسوا كذلك في الواقع، أو يدفعهم إلى اعتبار وحدات أخرى من جيشهم قوات معادية. كما يمكن أن يؤدي هذا التلاعب إلى إجبار نظام على أداء وظيفة لم تكن مخصصة له، مثل إنشاء معلومات خاطئة في نظام الاستهداف أو التحكم في المجال الجوي، وتضليل أجهزة التوجيه والاستشعار، وهي عموما تكتيكات تعمل على تخبّط قوات العدو في ساحة المعركة. جدير بالذكر أن مجموعة "أندارييل" نجحت عام 2016 في اقتحام الحاسوب الشخصي لوزير الدفاع الكوري الجنوبي، كما تمكنت من اختراق الشبكة الداخلية لوزارة الدفاع والحصول على كمّ هائل من البيانات، بلغت نحو 235 غيغابايت داخل نحو 300 وثيقة سرية، تشمل خطط طوارئ سريّة للحرب وضعتها الولايات المتحدة وكوريا الجنوبية بشكل مشترك، حسب التقارير التي أشارت إلى أن إحدى هذه الخطط تضمن اغتيال الزعيم الكوري الشمالي كيم جونغ أون في حال اندلاع حرب في شبه الجزيرة الكورية، وهي الخطة التي يُشار إليها باسم "قطع الرأس". التحول في النشاط يعكس اهتمامات النظام الكوري على جانب آخر، فإن تقييم شركة "مانديانت" الأميركية التابعة لغوغل والمتخصصة في مجال الأمن السيبراني، يُعرِّف "أندارييل" على أنها "التهديد المستمر المتقدم رقم 45" (APT-45)، ويشير إلى انخراطها في عمليات التجسس الإلكتروني منذ عام 2009، وهو العام ذاته الذي شهد إنشاء مكتب الاستطلاع العام. وترى "مانديانت" أن التحولات التي ترافق أنشطة "أندارييل" (من حيث طبيعة الأهداف)، تعكس الأولويات الجيوسياسية المتغيرة للنظام في كوريا الشمالية. فرغم تركيز المجموعة الملحوظ على الوكالات الحكومية وصناعات الدفاع بدءًا من عام 2017، فإن نشاطها فيما تلا ذلك (خلال عام 2019) يتماشى مع اهتمام بيونغ يانغ بالقضايا النووية، بينما رُصد تحولٌ في نشاط المجموعة عام 2024 نحو العمليات ذات الدوافع المالية، بغرض توليد الأموال للإنفاق على أولويات النظام الكوري، وعلى رأسها البرنامج النووي، حيث يعتقد مراقبون من الأمم المتحدة أن عائدات الهجمات الإلكترونية التي يُشتبه أن النظام نفذها بين عامي 2017 و2023، استخدمت في تحسين ترسانته النووية وتوسعتها. ويختلف أسلوب "أندارييل" عن المُشغلين الكوريين الآخرين في الهجمات ذات الدوافع المالية، حيث تبدي المجموعة اهتماما بإجراء هذه العمليات من خلال برامج الفدية، وذلك عبر تشفير بيانات الأجهزة المستهدفة، ثم ابتزاز الضحايا لدفع مقابل مالي لقاء فكّ التشفير عن أجهزتهم، مثلما جرى في عام 2022، حين استهدفت المجموعة مؤسسات الرعاية الصحية في اليابان والولايات المتحدة عبر برنامج الفدية "ماوي" (Maui)، فيما يُعتقد أن الوحدة حققت بهذا الأسلوب أكثر من 3 مليارات دولار من الأرباح غير المشروعة بين عامي 2017 و2023. وإجمالا، تشير التقديرات إلى أن "لازاروس" سرقت ما لا يقل عن 3.4 مليارات دولار من العملات المشفرة منذ ظهورها عام 2007، وهو ما يمثل مصدرا مهما لإيرادات النظام في كوريا الشمالية. وبحسب وكالة الدفاع السيبراني الأميركية، استهدفت "أندارييل" قطاعات الدفاع والفضاء والطاقة النووية والهندسة في بلدان عدة من أوروبا والأميركيتين وآسيا، بينما يشير المركز الأميركي للدراسات الدولية والاستراتيجية إلى أن الوحدة وجّهت جزءا كبيرا من نشاطها ضد الكيانات النووية منذ عام 2019، حيث تمكّنت في ذلك العام من اختراق محطة كودانكولام للطاقة النووية في الهند عبر برمجية خبيثة معروفة باسم "دي تراك" (Dtrack)، قادرة على تسجيل ضغطات المفاتيح ومسح الشبكات المتصلة ومراقبة العمليات النشطة على الحواسيب المصابة، وقد تم العثور على عناصر من البرمجية ذاتها في هجمات ذات صلة بمجموعة "أندارييل". ويؤكد مايكل بارنهارت، المحلل الرئيسي الذي يقود تحريات "مانديانت" في كوريا الشمالية، أن العديد من التطورات في قدرات بيونغ يانغ العسكرية خلال السنوات الأخيرة، بما فيها تلك المتعلقة ببرنامجها النووي؛ يمكن أن تُعزى بشكلٍ مباشر إلى جهود التجسس الناجحة لمجموعة "أندارييل" ضد الحكومات والمنظمات الدفاعية في جميع أنحاء العالم. فالوحدة تمكّنت من الحصول على مجموعة من الخطط الحساسة ذات الصلة بالمشروع النووي لكوريا الشمالية، ومن ضمنها معلومات تتعلق بمعالجة اليورانيوم وتخصيبه، وأخرى ترتبط بالمرافق النووية الحكومية ومعاهد البحوث ونفايات المواد وطُرق تخزينها، فضلا عن مخططات لتصاميم الصواريخ وأنظمة الدفاع الصاروخي التي تدعم بشكل مباشر قدرات بيونغ يانغ النووية. التهور النافع وفي السياق ذاته، أظهرت التحقيقات الأميركية تورط مجموعة "أندارييل" في اختراق طويل الأمد لوكالة الفضاء الأميركية "ناسا"، تمكّنت خلاله من استخراج ما يزيد عن 17 غيغابايت من بيانات غير مصنفة، تضمنت مكونات برمجية ومعلومات تتعلق بتقنيات الملاحة والتوجيه، وهي أنظمة ترتبط بشكل مباشر بتطبيقات الصواريخ والمركبات الجوية. ويُرجَّح أن هذه المعطيات أُرسلت مباشرة إلى جهاز الاستخبارات الكوري الشمالي، بغرض دعم جهود تطوير أنظمة أكثر دقة على مستوى الاستهداف الصاروخي. وبموازاة "لازاروس"، ثمة وحدة قرصنة سيبرانية أخرى تابعة لجهاز الاستطلاع العام تُعرف باسم "كيمسوكي" (APT-43)، ويُعتقد أنها مسؤولة عن عملية اختراق الشبكة الداخلية لمعهد أبحاث الطاقة الذرية في كوريا الجنوبية عام 2021. والمعهد هو منظمة حكومية لإجراء أبحاث حول الطاقة النووية وتكنولوجيا الوقود النووي. كما يُعتقد أن وحدة "كيمسوكي" كانت وراء عملية اختراق بيانات شركة "كوريا للطاقة المائية والنووية" عام 2014، وهي الشركة المسؤولة عن إدارة 23 مفاعلا نوويا في كوريا الجنوبية. ورغم انعدام ما يؤكد اختراق أنظمة التحكم النووي في الشركة، فإن الهجوم أسفر عن تسريب بيانات تتعلق بتصاميم مفاعلين نوويين على الأقل، فضلا عن مخططات تدفق الكهرباء وتقديرات التعرض للإشعاع بين السكان المحليين. وفي وقت لاحق، كشفت تقارير إعلامية في كوريا الجنوبية عن نجاح هذه المجموعات في التسلل إلى 83 شركة تصنيع دفاعي في البلاد بين عامي 2022 و2023، والحصول على بيانات سرية من نحو 10 شركات منها. وتتسم وحدات القرصنة السيبرانية في كوريا الشمالية بنوع من التهور مقارنة بنظرائها في دول مثل روسيا والصين، وفقا لتحليلات "مؤسسة ضمان المعلومات البريطانية" (NCC). ويرتبط ذلك بانعدام خشيتهم من الإقصاء أو المعاقبة، وغياب ما يعيقهم عن أداء مهامهم، نظرًا لأن بلادهم ليست حساسة للضغوط الخارجية، ولا تبدي نية امتثال لأي قواعد مقبولة دوليًّا، على عكس النماذج الصينية أو الروسية التي تُدار -نوعًا ما- بميزان الحذر السياسي. وأحد أدلة ذلك هو الاختفاء المفاجئ لبعض مجموعات الفدية الروسية، مثل مجموعتي "دارك سايد" و"ريفل" بعد شنهما هجمات برامج فدية تخريبية، بما يمكن اعتباره نوعا من المراجعة وقبول الضغوط الأميركية السياسية من جانب موسكو. وتمنح هذه الحرية مجالا للوحدات الكورية في تحقيق أهدافا أكبر، مقارنة بمنافسيهم الذين ينتمون إلى جهات حكومية فاعلة في دول أخرى. وبحسب "مؤسسة ضمان المعلومات"، يتم تجنيد أفراد هذه الوحدات وتدريبهم في سنّ مبكرة (مع بلوغهم سن 11 تقريبا)، ويجري اختيارهم من بين آلاف الشباب في كوريا الشمالية، ويمنحون في مقابل ذلك امتيازات عدة، مثل الشقق الفسيحة والإعفاء من الخدمة العسكرية. وجه آخر للردع وإجمالا، يساهم ذلك في نمو ترسانة كوريا الشمالية النووية من خلال محاور عدة، أولها: تقليص فجوة التجريب والمعرفة التقنية، نظرًا لأن بيونغ يانغ تتمكن من تقليد النماذج الأخرى واستنساخها، دون المرور بمراحل مكلفة -زمنيا وماديا- من التجريب الميداني، كما يدعم توفير بدائل تقنية محلية استنادًا إلى البيانات المسروقة، ويمنح بيونغ يانغ فهمًا لكيفية تصميم النظم النووية الغربية من الداخل، فضلا عن تأمين التمويل الذي توفره هجمات الفدية والسطو الإلكتروني، بما يساعد النظام على تجاوز تأثير العقوبات المفروضة عليه والاستمرار في مراكمة أسلحة الردع النووي. بل وأبعد من ذلك، إذ يشير خبير الأمن القومي الأميركي والمستشار السابق للبيت الأبيض، ريتشارد كلارك، إلى وجه آخر من التهديد والردع، يُمكن أن يتشكّل من خلال العلاقة بين أنشطة القرصنة السيبرانية والأسلحة النووية، نظرًا لأن أي هجوم سيبراني ناجح على نظام أسلحة نووية، قد يؤدي إلى نوع من سوء التقدير، ومن ثم التسبب في تفجير نووي مدمر. ويطرح كلارك 3 سيناريوهات محتملة في هذا الصدد، حيث يمكن لأي جهة فاعلة مجهولة أن تتدخل في أنظمة القيادة والتحكم النووي لدولة ما، وتحفيزها على إطلاق سلسلة غير مقصودة وخطيرة من الإجراءات وردود الفعل. وبإمكان المتسلل أيضا انتحال نظام الإنذار المبكر في أنظمة دولة نووية، بما يؤدي إلى الاعتقاد بأن الدولة تتعرض للهجوم. ومع وجود دقائق قليلة فقط لتقرير ما إذا كانت الدولة ستستخدم أسلحتها النووية ردًّا على هذا الهجوم الوهمي، فإن ثمة فرصة لسوء التقدير واشتعال حرب نووية بناء على ذلك. أما الاحتمال الثالث، وهو الأسوأ، فيتمثل في هجوم سيبراني على نظام اتصالات أو عنصر آخر من عناصر البنية التحتية للأسلحة النووية، بما يجعل الدولة غير قادرة على إبقاء أسلحتها تحت السيطرة، ويعطي للمتسلل فرصة التحكم بها عن بُعد. وثمة قاعدة تقول: إن اختراق نظام نووي واحد فقط في أي مكان، يخلق خطرا نوويا في كل مكان. والخلاصة، أن الحالة الكورية تُظهر كيف يمكن للفضاء السيبراني أن يعيد تشكيل منطق الردع التقليدي، إذ يمكن للدولة أن تحقق تقدمًا نوويًا بأقل تكلفة، أو أن تعطل أنظمة الخصم النووية دون إطلاق رصاصة، كما أن التداخل بين أنظمة القيادة التقليدية والسيبرانية يزيد من احتمالية الخطأ أو التصعيد غير المقصود.
الجزيرة
٢٢-٠٣-٢٠٢٥
- الجزيرة
تدابير لحماية حساب واتساب من الاختراق
قد يقع حساب المستخدم على تطبيق المراسلة واتساب في أيدي المجرمين السيبرانيين. وتُستخدم حسابات واتساب المسروقة في مختلف أنواع الأنشطة الإجرامية، بدءا من نشر الرسائل العشوائية المزعجة وصولا إلى المخططات الخداعية المتطورة. ويبحث المجرمون السيبرانيون باستمرار عن حسابات واتساب ويستخدمون طرقا متنوعة للوصول إليها. وفي ما يلي بعض النصائح التي شملها تقرير لوكالة الأنباء الألمانية حول كيفية حماية حساب الواتساب من المجرمين. مساران رئيسيان يتبع المجرمون السيبرانيون مسارين رئيسيين للاستيلاء على حسابات واتساب: الأول يتمثل في إضافة جهاز آخر للحساب المستهدف عبر استغلال خاصية "الأجهزة المرتبطة"، أما المسار الثاني فيتمثل في إعادة تسجيل الحساب المستهدف على أجهزتهم الخاصة، كأن المستخدم اشترى هاتفا جديدا. في السيناريو الأول، يواصل المستخدم استعمال واتساب بصورة طبيعية دون انقطاع، بينما يتمتع المجرمون السيبرانيون بالوصول إلى كافة المحادثات الحديثة. أما في السيناريو الثاني، يفقد المستخدم القدرة على الوصول إلى حسابه الشخصي. وحين يحاول المستخدم الدخول إلى حسابه، تظهر له رسالة تنبيهية من واتساب تفيد بأن الحساب نشط حاليا على جهاز آخر، مما يتيح للمخترقين السيطرة على الحساب، غير أن المحادثات السابقة تظل بمنأى عن متناولهم. إجراءات وقائية وفي ما يلي تقدم شركة كاسبرسكي إجراءات وقائية أساسية للحيلولة دون تعرض حساب واتساب للاختراق في المقام الأول: • فعّل المصادقة الثنائية في واتساب واحفظ رقمك السري (PIN) – فهو ليس كودا يُستخدم مرة واحدة. لتفعيل الخاصية، انتقل إلى الإعدادات ← الحساب ثم المصادقة الثنائية. • لا تشارك أبدا رقمك السري الخاص بك أو أكواد التسجيل المؤقتة مع أي شخص. المحتالون فقط هم من يطلبون هذه التفاصيل. • أصدر واتساب مؤخرا دعم مفاتيح المرور الرقمية. إذا فعّلت هذا الخيار بالذهاب للإعدادات ثم الحساب ثم مفاتيح المرور، سيتطلب تسجيل الدخول إلى حسابك المصادقة البيومترية، وبدلا من أكواد رقمك السري سيخزن هاتفك الذكي مفتاحا تشفيريا طويلا. هذا خيار آمن جدا، لكنه قد لا يكون مناسبا إذا كنت تغير أجهزتك بشكل متكرر وتتنقل بين نظامي أندرويد وآي أو إس. • قم بإعداد بريد إلكتروني احتياطي لاسترداد الحساب عن طريق الإعدادات ثم الحساب وبعدها عنوان البريد الإلكتروني. • إذا سبق لك إضافة عنوان بريد إلكتروني فينبغي لك الدخول إلى حساب البريد الإلكتروني وتغيير كلمة المرور إلى واحدة قوية وفريدة. لتخزينها بأمان، استخدم مدير كلمات المرور، مثل كاسبيرسكي باسورد مانجر (Kaspersky Password Manager). • فعّل خاصية المصادقة الثنائية لحساب بريدك الإلكتروني. • تأكد من أنك لم تقع ضحية لخداع تبديل بطاقة الهاتف (SIM). توجه إلى شركة الاتصالات ويُستحسن أن يكون ذلك بزيارة شخصية، للتأكد من عدم وجود أي شرائح اتصال مستنسخة أو بديلة قد تم إصدارها لرقمك مؤخرا. كذلك، تأكد من عدم وجود تحويل مكالمات غير مصرح به على رقمك. بادر بإلغاء أي تعديلات مريبة تكتشفها، واستفسر من موظفي شركة الاتصالات عن الوسائل والإجراءات الأمنية الإضافية المتاحة لتعزيز حماية بطاقة الهاتف. قد تشمل هذه الإجراءات منع أي عمليات متعلقة ببطاقة الهاتف دون حضورك الشخصي، أو طلب كلمة مرور إضافية للمصادقة، أو وسائل حماية أخرى. تتفاوت إجراءات الأمان المتاحة بشكل كبير حسب البلد وشركة الاتصالات. إن أي إجراءات أمنية في واتساب لن تكون ذات فائدة كبيرة إذا كان هاتفك الذكي أو حاسوبك مصابا ببرمجيات خبيثة. لذلك، احرص على تثبيت حماية شاملة على جميع أجهزتك.
الجزيرة
٠٩-٠٢-٢٠٢٥
- الجزيرة
الأول من نوعه.. كاسبرسكي تكتشف تطبيقا خبيثا على متجر تطبيقات آبل
أفاد خبراء في شركة كاسبرسكي أنهم اكتشفوا أول تطبيق يحتوي برنامج تجسس في متجر تطبيقات آبل والذي يعمل بتقنية التعرف البصري على الحروف "أو سي آر" (OCR)، ويقول الخبراء إن هذا التطبيق صمم لسرقة العملات المشفرة بطريقة لا يتوقعها المستخدم. بحسب موقع "ذا ريجستر". وقد وجد الباحثون برمجيات خبيثة في تطبيق على متجر آبل يدعى "كَم كَم" (ComeCome) والذي يوفر خدمة توصيل الطعام، كما أنه متاح على متجر غوغل بلاي أيضا، وبحسب الخبيرين لديتري كالنين وسيرغي بوزان من كاسبرسكي فإن التطبيق قادر على قراءة كلمات دخول تابعة لمحافظ العملات المشفرة وإرسالها إلى المجرمين. وتبيّن أن تطبيق "كَم كَم" يحتوي على مجموعة أدوات تطوير برمجيات خبيثة من ضمنها تقنية "أو سي آر" مخفية، وعند استخدام التطبيق تعمل هذه التقنية والتي مهمتها قراءة محتويات الصور، ويبدأ التطبيق في البحث عن صور داخل هاتف المستخدم وخاصة لقطات الشاشة بهدف تحصيل صورة تتضمن كلمات الدخول التابعة لمحفظة عملات مشفرة، إذ إن العديد من هذه المحافظ تستخدم أسلوب كلمات الدخول للوصول إلى المحفظة من دون الحاجة لاستخدام بريد إلكتروني أو رقم هاتف، وغالبا ما تكون 12 كلمة عشوائية تحتاج لإدخالها بترتيب صحيح للولوج. وفي حال وجدت تقنية "أو سي آر" كلمات الدخول فستقوم باستخراجها من الصورة وتحولها إلى نص، ثم يقوم برنامج التجسس بإرسال الكلمات المسروقة إلى المجرمين الذين يقفون وراء هذا التطبيق، وباستخدام كلمات الدخول المسروقة يستطيعون فتح محفظة العملات المشفرة الخاصة بالضحية وسرقة عملاتهم من دون أن يعرفوا من قام بذلك. وكتب فريق كاسبرسكي: "كشف تحقيقنا أن هدف المهاجمين كان كلمات الدخول لمحافظ العملات المشفرة، والتي كانت كافية للدخول إلى أي محفظة بصلاحيات كاملة وتحويل الأموال منها". وأضاف الفريق: "رغم الفحص الدقيق من قبل متاجر التطبيقات الرسمية والوعي العام بعمليات الاحتيال القائمة على تقنية "أو سي آر" والتي تستهدف سرقة العملات المشفرة، فإن التطبيقات الاحتيالية لا تزال تجد طريقها إلى متجر تطبيقات آبل ومتجر غوغل بلاي وتجتاز فحص الأمان لأنها لا تقدم أي دليل على حقن برمجيات خبيثة داخلها وقد تبدو غير ضارة". إعلان وذكر فريق البحث "في هذه الحالة، نحن ندحض المقولة التي تدعي أن نظام "آي أو إس" محصن بطريقة ما ضد التطبيقات الخبيثة". وقد أطلق الباحثان كالنين وبوزان على هذا النوع من البرامج الخبيثة اسم "سابركات" (SparkCat) ولاحظوا أنه مرن بما يكفي لتنفيذ عمليات سرقة متقدمة، فهو لا يتوقف عند سرقة كلمات دخول محافظ العملات المشفرة، بل بإمكانه سرقة أي معلومات حساسة من لقطات الشاشة الموجودة في معرض الصور مثل الرسائل وكلمات المرور وبيانات تسجيل دخول. ويقول فريق كاسبرسكي "إن محاولة سرقة العملات المشفرة تستهدف بشكل أساسي مستخدمي أندرويد وآيفون في أوروبا وآسيا، وقد وردنا أن أكثر من تطبيق في متجر غوغل بلاي يحتوي على "سابركات" وقد قام أكثر من 242 ألف مستخدم بتنزيل هذه التطبيقات". وفقا لموقع "ذا ريجستر". ولم يتمكن المحللون من تأكيد ما إذا كان برنامج "سابركات" أُدخل في التطبيق عبر هجوم سلسلة التوريد أو كعمل متعمد من قبل مطوري التطبيقات، وذكرت كاسبرسكي أن آبل أزالت تطبيق "كَم كَم" الخبيث من متجرها، كما أنه اختفى أيضا من متجر غوغل بلاي، بالإضافة إلى تطبيقات أخرى مشابهة.
