اریک کر و کالب مارکیس در منطقه غیرنظامی‌شده در کره جنوبی در سال ۲۰۲۳.
اریک کر و کالب مارکیس در منطقه غیرنظامی‌شده در کره جنوبی در سال ۲۰۲۳.

مامور سابق اف‌بی‌آی که چهار سال را صرف تعقیب یک جاسوس کره‌شمالی کرد

اریک کر در سال ۲۰۲۳ اف‌بی‌آی را ترک کرد، اما به جستجوی "همدست ۱" ادامه داد؛ فردی که گفته می‌شود یک بیمارستان در کانزاس را در یک حمله باج‌افزاری هدف قرار داده بود.

نویسنده: رابرت مک‌میلان تاریخ انتشار: 2025-11-19 13:00:00 GMT منتشر شده در: وال استریت ژورنال مدت زمان مطالعه: 5 دقیقه

در ماه جولای، اریک کر پس از یک تماس ویدیویی هشت دقیقه‌ای با یک توسعه‌دهنده نرم‌افزار، تلفن را قطع کرد و با شریک سابق خود در اداره تحقیقات فدرال (FBI) تماس گرفت.

او گفت: "فکر می‌کنم پیدایش کردم."

کر، پژوهشگر امنیت سایبری، در سال ۲۰۲۳ اف‌بی‌آی را ترک کرد، اما یک پرونده وجود داشت که او و همکار سابقش، کالب مارکیس، نمی‌توانستند آن را رها کنند.

در تاریخ ۴ مه ۲۰۲۱، هکری که با نام "هادس" شناخته می‌شد، سرورهای یک بیمارستان در چانوت، کانزاس را در جریان یک حمله باج‌افزاری قفل کرد. هادس بخشی از گروهی از هکرهای کره‌شمالی بود که به شبکه شرکتی بیمارستان نفوذ کرده و آن را از کار انداخته بودند. آن‌ها حتی یک کامپیوتر در آزمایشگاه خواب را نیز از دسترس خارج کرده بودند. باج‌افزاری که استفاده می‌کردند، چیزی بود که اف‌بی‌آی هرگز پیش از آن ندیده بود.

اف‌بی‌آی اعلام کرده است که این باج‌افزار، معروف به مائوئی (Maui)، توسط هکرهای کره‌شمالی برای کسب درآمد جهت یک عملیات جاسوسی ساخته شده بود که در نهایت منجر به نفوذ به سازمان ملی هوانوردی و فضایی (NASA)، دو پایگاه نیروی هوایی ایالات متحده و تعدادی پیمانکار نظامی شد.

ماموریت این هکرها سرقت اسرار نظامی و فناوری بود. طبق اسناد منتشر شده توسط دادستان‌های فدرال در سال ۲۰۲۲، برای تامین هزینه‌های زندگی خود در حین انجام کار، آن‌ها بیش از ۵۰۰,۰۰۰ دلار از طریق پرداخت‌های باج‌افزار دریافت کردند.

اریک کر و کالب مارکیس در حال لبخند زدن در یک تور DMZ با منظره‌ای وسیع در پشت سرشان.
کالب مارکیس و اریک کر در سال ۲۰۲۳ در یک عرشه مشاهده که نمایی از منطقه غیرنظامی‌شده کره را ارائه می‌دهد.
اریک کر

روز چهارشنبه، کر و مارکیس، که او نیز از اف‌بی‌آی خارج شده و به عنوان پژوهشگر امنیت سایبری کار می‌کند، قرار است مدارک خود را در کنفرانسی در واشنگتن دی.سی. ارائه دهند. هادس به پیام‌های درخواستی برای اظهارنظر پاسخ نداد.

هادس، که در یک پرونده قضایی به عنوان "همدست ۱" شناسایی شده است، پیامی را روی سیستم‌هایی که باج‌افزار او آلوده کرده بود، منتشر کرد. برای خلاص شدن از باج‌افزار، بیمارستان باید ۲ بیت‌کوین پرداخت می‌کرد، که معادل کمی بیش از ۱۰۰,۰۰۰ دلار در آن زمان بود.

در این پیام آمده بود: "لطفاً وقت خود را تلف نکنید! شما فقط ۴۸ ساعت فرصت دارید!" پس از آن، قیمت دو برابر می‌شد.

با از کار افتادن بسیاری از سیستم‌ها، بیمارستان مجبور به پرداخت شد.

طبق گفته دادستان‌ها، این پول – پس از تبدیل از بیت‌کوین به یوان – بعدها در دانگ‌دونگ چین، در یک خودپرداز نزدیک پل دوستی چین و کره، که چین را به کره‌شمالی متصل می‌کند، برداشت شد.

در حالی که بیمارستان کانزاس یکی از حداقل پنج مرکز درمانی بود که دادستان‌ها گفتند هادس و همکارانش به آن‌ها حمله کرده بودند، باج‌افزار در واقع تنها یک فعالیت جانبی بود. آن‌ها بخشی از واحد سایبری معروف به آنداریل (Andariel) بودند که در داخل آژانس جاسوسی نظامی کره‌شمالی، اداره کل شناسایی (Reconnaissance General Bureau)، فعالیت می‌کرد.

اسکرین‌شاتی از مکالمه تلگرامی درباره باج‌افزار، وب‌سایت‌های قمار و کسب درآمد.
تبادل پیام بین اریک کر و یک هکر مظنون.

کر و مارکیس سرنخ‌های دیجیتالی در مورد هادس را در طول حملات باج‌افزاری جمع‌آوری کرده بودند که بسیاری از آن‌ها سال گذشته در کیفرخواستی علیه رهبر ادعایی این گروه هکری، یک تبعه کره‌شمالی به نام ریم جونگ هیوک (Rim Jong Hyok)، منتشر شد.

این کیفرخواست به عنوان یک اتهام "نام‌بردن و افشا کردن" شناخته می‌شود که هدف آن هشدار دادن به هکرها است که مقامات آمریکایی آن‌ها را می‌شناسند و در صورت سفر به حوزه‌ای که امکان استرداد به ایالات متحده وجود دارد، می‌توانند آن‌ها را دستگیر کنند.

با تنها یک نفر که در کیفرخواست سال گذشته نام برده شده بود، کر، که اکنون تحلیلگر تهدید در ماندیانت گوگل است، نمی‌توانست از فکر "همدست ۱" دست بردارد.

مادر کر پرستار و پدرش یک کارمند فناوری اطلاعات در صنعت بهداشت و درمان بود. او زحمات طاقت‌فرسای پدرش را برای حفظ عملکرد شبکه‌ها به یاد می‌آورد و از شغل خود در اف‌بی‌آی می‌دانست که باج‌افزار یک مشکل بزرگ برای بیمارستان‌ها است.

او در مصاحبه‌ای گفت: "من یک فرزند دارم. اگر به بیمارستان می‌رفتم و آن‌ها مجبور بودند مرا به دلیل از کار افتادن سیستم‌هایشان برگردانند، چه می‌شد؟"

کر و مارکیس شواهدی جمع‌آوری کرده بودند که یک مظنون را به "همدست ۱" مرتبط می‌کرد. این شواهد شامل اصطلاحات مشترک در مخازن کدنویسی و پروفایل‌های شبکه‌های اجتماعی بود. و به نظر می‌رسید که شماره تلفن مشترکی داشتند.

در تماس ویدیویی جولای، چیزی که کر را شگفت‌زده کرد این بود که مظنون به دنبال کار به عنوان هکر نبود. او گفت که یک توسعه‌دهنده نرم‌افزار ساکن کانادا است و به دنبال شغل برنامه‌نویسی می‌گردد.

بر اساس گزارشی از سوی ۱۱ کشور که بر نقض تحریم‌های کره‌شمالی نظارت می‌کنند، سال گذشته کره‌شمالی حدود ۸۰۰ میلیون دلار از هزاران کارگر فناوری اطلاعات خود در سراسر جهان درآمد کسب کرده است؛ افرادی که با هویت‌های جعلی در شرکت‌های غربی مشغول به کار می‌شوند. این کارگران می‌توانند ماهیانه تا ۱۰۰,۰۰۰ دلار درآمد داشته باشند که بخش عمده آن برای حمایت از آژانس‌هایی مانند سازمان جاسوسی RGB به کشور بازگردانده می‌شود.

مایکل بارنهارت، بازرس شرکت امنیت سایبری DTEX، گفت که در ابتدا مشکل کارگران فناوری اطلاعات یک تهدید امنیت سایبری جدی تلقی نمی‌شد، اما دولت‌ها و شرکت‌ها با درک گستردگی این مشکل، اکنون آن را جدی‌تر گرفته‌اند. او گفت که تقریباً هر شرکت آمریکایی که برای موقعیت‌های دورکاری استخدام می‌کند، درخواست‌هایی از اتباع کره‌شمالی دریافت کرده است، از جمله برخی که در خارج از کره‌شمالی زندگی می‌کنند و برخی که نه.

جان کوتاهنک، معاون رئیس اطلاعات جهانی در شرکت ارز دیجیتال کوین‌بیس گلوبال (Coinbase Global)، گفت که تاکتیک‌های کره‌شمالی تکامل یافته است. او افزود: "اکنون فکر می‌کنم بیشتر مربوط به دسترسی به سیستم‌های پشتیبان یک شرکت است، تا آن‌ها بتوانند کارهای بدتری انجام دهند."

کر گفت که احساس می‌کرد شانس خوبی برای شناسایی هادس دارد، اما باید اطلاعات بیشتری به دست می‌آورد.

بنابراین، او به او پیشنهاد کار داد. کر گفت: "من سعی می‌کنم یک کازینوی رمزنگاری بسازم. شما متخصص بلاکچین به نظر می‌رسید. می‌توانید کمکم کنید؟"

او فکر می‌کرد که هفته‌ها طول می‌کشد تا اطلاعات بیشتری از کارگر فناوری اطلاعات به دست آورد، اما به زودی فردی که فکر می‌کرد هادس است، پیشنهاد ساخت یک سیستم پول‌شویی را داد.

و بعداً، او اعتراف قابل توجهی کرد. در یک پیام متنی به کر گفت که قبلاً باج‌افزار ساخته و اگرچه این یک تجارت پرخطر بود، اما بیش از ۱ میلیون دلار از آن به دست آورده است.

کر گفت: "همه این‌ها با هادس مطابقت داشت. او با خود فکر کرد: این احتمالاً همان کسی است که سال‌ها او را تعقیب می‌کردم."

سپس مظنون خواست وارد یک تماس کنفرانسی شود. در ویدیویی از این تماس که توسط وال استریت ژورنال مشاهده شد، او به کر گفت که حداقل نرخ ساعتی او ۴۰ دلار است. او گفت: "من می‌توانم برای شما تمام وقت کار کنم و حداقل ۶,۰۰۰ دلار در ماه دریافت کنم." صدای دیگری – که کر معتقد است متعلق به یک کارگر فناوری اطلاعات دوم است – در پس‌زمینه تماس شنیده می‌شود.

پس از تماس ویدیویی در ماه جولای، کر با هیجان به همسرش گفت که با هادس صحبت کرده است.

همسرش با نگاهی خالی به او خیره شد و گفت: "شما به یک سرگرمی نیاز دارید."

هادس و سایر هکرهای آنداریل با یافتن رایانه‌هایی که نرم‌افزارهای دارای آسیب‌پذیری شناخته‌شده‌ای را اجرا می‌کردند، به شرکت‌ها و سازمان‌های دولتی نفوذ می‌کردند. کر نگران است که اگر افرادی که به شرکت‌ها نفوذ می‌کردند، اکنون در آنجا مشغول به کار باشند، ممکن است از این دسترسی به عنوان راه دیگری برای نصب باج‌افزار یا سرقت اسرار استفاده کنند.

کر گفت: "سخت‌ترین قسمت نفوذ است، اما وقتی کسی از قبل داخل باشد، چه اتفاقی می‌افتد؟"

برای رابرت مک‌میلان به آدرس [email protected] ایمیل بنویسید.

https://www.wsj.com/tech/cybersecurity/the-ex-fbi-agent-who-spent-four-years-hunting-down-a-north-korean-spy-5b9f3109?mod=mhp