نگاهی به فعالیت‌های Unit 180؛ ارتش سایبری کره شمالی که غرب از آن هراس دارد

Unit 180 نام واحد ویژه‌ای در زیرشاخه سازمان جاسوسی کره شمالی است که به عقیده بسیاری از متخصصان و کارشناسان حوزه امنیت سایبری، مدیریت بسیاری از حملات و نفوذهای جدی در حوزه اینترنت را برعهده داشته است. حتی عده‌ای معتقدند انتشار باج افزار واناکرای نیز توسط این گروه سایبری انجام شده است.

آژانس جاسوسی کره شمالی واحد ویژه‌ای به نام Unit 180 دارد که بر مبنای شواهد و قرائن بدست آمده و همچنین اظهارنظر بسیاری از مقامات رسمی و متخصصان سرشناس حوزه امنیت سایبری، مدیریت برخی از موفق‌ترین و جسورانه‌ترین حملات سایبری چند سال اخیر را عهده‌دار شده است.

در چند سال اخیر، کره شمالی همواره در مظان این اتهام قرار داشته که مجموعه‌ای از حملات سایبری که اکثرا با تمرکز روی حوزه‌ها و آژانس‌های مالی و اعتباری انجام شده را به مقصد کشورهایی نظیر ایالات متحده آمریکا، کره جنوبی و ده‌ها کشور دیگر مدیریت کرده است.

در جدیدترین مورد، متخصصان امنیت سایبری مدعی شده‌اند شواهدی پیدا کرده‌اند که ردپای کره شمالی را در حملات سایبری با استفاده از باج افزار WannaCry نشان می‌دهد. حملاتی که به آلودگی بیش از ۳۰۰ هزار کامپیوتر در ماه جاری میلادی، آن‌هم در ۱۵۰ کشور مختلف جهان منجر شده است. البته پیونگ‌یانگ این ادعا را بی‌اساس خوانده است.

شاید مبنای ایجاد این ادعاها برعلیه کره شمالی، ارتباطی است که میان دولت این کشور و یک گروه هکری به نام Lazarus وجود دارد. این گروه هکری با حملات سایبری به بانک مرکزی بنگلادش که به سرقت ۸۱ میلیون دلاری منجر شد و حتی حملات سال ۲۰۱۴ میلادی به استودیوی هالیوودی سونی ارتباط مستقیم دارد. دولت ایالات متحده بارها از کره شمالی به عنوان مسبب نفوذ به شرکت سونی یادکرده است و حتی برخی مقامات رسمی آمریکا نیز از تنظیم شکواییه حقوقی برعلیه دولت پیونگ یانگ برسر مسئله سرقت از بانک بنگلادش خبر داده‌اند. کره شمالی اتهام دست داشتن در حمله به استودیوی سونی را تکذیب کرده است.

همان‌طور که می‌دانید کره شمالی یکی از محدودترین کشورهای جهان هست و از همین رو دسترسی به جزئیات فعالیت‌های سایبری درحال انجام در این کشور، بسیار دشوار و در برخی موارد، غیرممکن است. با وجود این، متخصصانی که تمرکز خود را روی مطالعه حوزه سایبری این کشور گذاشته‌اند یا حتی کارشناسانی که از این کشور گریخته و به کره جنوبی یا کشورهای غربی پناهنده شده‌اند سرنخ‌هایی را از فعالیت‌های انجام شده در این حوزه ارائه کرده‌اند.

کیم هیونگ کوانگ پروفسور سابق علوم کامپیوتر در کره شمالی که در سال ۲۰۰۴ میلادی به کره جنوبی پناهنده شده اما هنوز هم با منابع فعال در کره شمالی ارتباط دارد معتقد است حملات سایبری پیونگ‌یانگ که با هدف دسترسی به مقاصد مالی و اعتباری انجام می‌شوند احتمالا توسط Unit 180 سازماندهی و مدیریت می‌شود.

کیم در خصوص فعالیت‌های Unit 180 به رویترز می‌گوید:

Unit 180 با هدف نفوذ به انستیتوهای مالی و دسترسی به منابع موجود در حساب‌های بانکی فعالیت می‌کند.

این پروفسور مدعی شده برخی از دانشجوهای سابق او به نیروهای استراتژیک سایبری که در واقع همان ارتش سایبری کره شمالی به حساب می‌آیند پیوسته‌اند. کیم اعلام کرده نفوذگران کره‌ای در پوشش کارکنان شرکت‌های فعال در حوزه تجارت و شعب بین المللی شرکت‌های مختلف کره شمالی یا حتی شرکت‌های سرمایه‌گذاری چینی و آسیای جنوب شرقی فعالیت‌های خود را به‌طور مخفیانه انجام می‌دهند. او مدعی است فعالیت این نفوذگران از کشورهای ثالث باعث خواهد شد به مجموعه وسیع‌تری از تجهیزات و همچنین زیرساخت‌های سایبری دسترسی داشته باشند.

جیمز لوئیس از متخصصان کره شمالی که در مرکز مطالعات استراتژیک و بین‌الملل در واشنگتن فعالیت می‌کند معتقد است پیونگ‌یانگ در ابتدا از حملات سایبری به عنوان ابزاری برای مقاصد جاسوسی استفاده می‌کرد اما در ادامه، این راهکار به وسیله‌ای در جهت پیاده‌سازی مقاصد سیاسی بر علیه اهداف وابسته به کره جنوبی و ایالات متحده آمریکا تبدیل شد. او در این خصوص می‌گوید:

این روند پس از نفوذ به شرکت سونی تغییر کرد تا جایی که کره‌ای‌ها از نفوذ سایبری برای پشتیبانی از فعالیت‌هایی که به تامین ارز برای رژیمشان منجر می‌شد استفاده کردند. تا به اینجای کار، به‌نظر می‌رسد این روند موثرتر از تجارت مواد مخدر یا جعل و حتی فعالیت‌های قاچاق بوده است.

وزارت دفاع آمریکا در گزارشی که سال گذشته میلادی به کنگره ارائه کرد مدعی شده بود کره شمالی به حملات سایبری به عنوان راهکاری مقرون به صرفه و قابل انکار نگاه می‌کند که با توجه به مستقل بودن شبکه‌های این شرکت از اینترنت جهانی، حملات تلافی‌جویانه را نیز به دنبال نخواهد داشت. کره‌ای‌ها از زیرساخت‌های اینترنتی کشورهای طرف ثالث برای پیاده‌سازی اهداف خود استفاده می‌کنند.

کره شمالی هم مدعی شده منابع و شواهد زیادی در اختیار دارد که دست داشتن کره شمالی در حملات سایبری را تایید می‌کند. Ahn Chong Ghee معاون وزیر امور خارجه کره جنوبی در گفتگو با رویترز می‌گوید:

 کره شمالی، حملات سایبری را از طریق کشورهای ثالث اجرا می‌کند. به این ترتیب، منشا حملات، مخفی خواهد ماند و امکان استفاده از زیرساخت‌های ارتباطی و اطلاعاتی این کشورها نیز فراهم خواهد شد.

کره جنوبی مدعی شده پیونگ یانگ علاوه بر حملات سایبری به بانک‌های بنگلادش، نفوذهای انجام شده به بانک‌های فیلیپین، ویتنام و لهستان را نیز مدیریت کرده است. در ژوئن سال گذشته میلادی پلیس اعلام کرد کره شمالی به ۱۴۰ هزار کامپیوتر در ۱۶۰ شرکت و آژانس دولتی در کشور کره جنوبی نفوذ کرده است. علاوه بر این، کره شمالی در مظان این اتهام نیز قرارداد که حملات سایبری برعلیه راکتور هسته‌ای کره جنوبی را در سال ۲۰۱۴ میلادی مدیریت کرده است. به گفته Simon Choi از متخصصان سایبری مطرح در کره جنوبی، این حملات از مقری در چین هدایت شده بودند.

به گفته Yoo Dong-ryul از محققان سابق پلیس کره جنوبی که بیش از ۲۵ سال است تکنیک‌های جاسوسی کره شمالی را مطالعه می‌کند، مالزی نیز یکی از پایگاه‌های استفاده شده برای پیاده‌سازی حملات سایبری توسط کره شمالی بوده است. او در این خصوص می‌گوید:

مجرمان سایبری کره شمالی در شرکت‌های فعال در حوزه برنامه‌نویسی، آی‌تی یا تجارت فعالیت می‌کنند. برخی نیز وب‌سایت‌هایی را مدیریت می‌کنند که فروش بازی‌های ویدئویی یا اجرای برنامه‌های قماربازی را در دستورکار قرار داده‌ است.

بر اساس تحقیقات انجام شده توسط رویترز، دو شرکت مالزیایی فعال در حوزه آی‌تی، با آژانس جاسوسی RGB کره شمالی در ارتباطند. البته هیچ شواهدی مبنی بر دست داشتن آن‌ها در حملات سایبری موجود نیست.

مایکل مددن از متخصصان آمریکایی حوزه امنیت سایبری معتقد است Unit 180 یکی از گروه‌های شاخص کره‌ای فعال در حوزه امنیت سایبری است که تحت مدیریت سازمان‌های اطلاعاتی کره شمالی قراردارد. مددن معتقد است پرسنل این واحد از میان دانش‌آموزان مقطع متوسطه انتخاب می‌شوند تا تعلیمات و آموزش‌های پیشرفته را در انستیتوهای ویژه دریافت کنند. در نهایت، این افراد می‌توانند فعالیت‌های خود را از مکان‌های مختلف، به عنوان مثال از هتلی در چین یا حتی مکانی نامعلوم در اروپای شرقی انجام دهند.

مقامات رسمی ایالات متحده آمریکا اعلام کرده‌اند هنوز شواهد و مدارک مستدلی که نشان دهد کره شمالی مدیریت حملات انجام شده با باج افزار واناکرای را برعهده دارد بدست نیامده است.

دیمیتری آلپروویج موسس شرکت امنیتی CrowdStrike در این خصوص می‌گوید:

مشخص شدن این موضوع که کره‌ای‌ها به‌طور مستقیم در انتشار این باج افزار دست داشته‌اند یا نه، این حقیقت را که آن‌ها خطر سایبری جدی به حساب می‌آیند تغییر نخواهد داد. توانایی‌های آن‌ها به مرور زمان بهبود یافته و ما به آن‌ها به عنوان بازیگری خطرناک با توانایی وارد کردن آسیب‌های جدی به شبکه‌های خصوصی یا دولتی آمریکا نگاه می‌کنیم.