هاكرز كوريون شماليون يتنكرون في هيئة موظفي Zoom ويقومون بسرقة أصول مشفرة، وخسائرهم الإجمالية تتجاوز 300 مليون دولار
كشف جهاز الأمن السيبراني أن مجرمي الإنترنت من كوريا الشمالية يشنون هجمات اجتماعية عبر “اجتماعات زوم / تيمز المزيفة” وسرقة أصول محافظ العملات المشفرة على نطاق واسع، حيث تجاوزت الخسائر الإجمالية 300 مليون دولار. وقالت شركة الأمن Security Alliance (SEAL) إنه يمكن تتبع العديد من الهجمات ذات الصلة يوميًا تقريبًا، وأصبح العاملون في صناعة التشفير والمستخدمون النشطون أهدافًا رئيسية.
تم الكشف عن أسلوب الهجوم لأول مرة من قبل باحث أمن MetaMask تيلور موناهان. وأشارت إلى أن قراصنة كوريا الشمالية يستخدمون سيناريوهات اجتماعات عبر الإنترنت ذات واقعية عالية، ويخدعون الضحايا باستمرار لتثبيت برامج ضارة، مما يمكنهم من الوصول مباشرة إلى المفاتيح الخاصة، وكلمات المرور، والمعلومات الأمنية الداخلية، ثم يفرغون المحافظ المشفرة بسرعة.
من حيث سير العملية، يبدأ الهجوم عادةً من مجموعة على تيليجرام. يتظاهر القراصنة بأنهم “أشخاص يعرفهم” من الضحايا، ويرسلون رسائل إلى جهات اتصالهم، ويستخدمون أدوات شائعة مثل Calendly لإرسال دعوات لاجتماعات زوم. بعد بدء الاجتماع، يمكن للضحية رؤية “أشخاص مقربين” و"أعضاء الفريق" عبر الفيديو، لكن في الواقع، هذه المشاهد مسجلة مسبقًا وتظهر كفيديو حقيقي، وليست مجرد تزييف عميق.
خلال المكالمة، يوجه القراصنة الضحايا لتحميل ملفات تصحيح أو تحديثات SDK بزعم أنها “مشاكل صوتية” أو “عدم وضوح الاجتماع”. تكون هذه الملفات برمجيات خبيثة، وغالبًا ما تكون تروجان الوصول عن بُعد (RAT). بمجرد التثبيت، يمكن للمهاجمين السيطرة عن بُعد على الجهاز، وسرقة بيانات الاعتماد، والمفاتيح الخاصة، وتنفيذ عمليات نقل سريعة للمحافظ المشفرة.
وأشار خبراء الأمن إلى أن ذلك يمثل ترقية في استراتيجيات قراصنة كوريا الشمالية في الجرائم المشفرة. سابقًا، اعتمدت مجموعات القراصنة، بما في ذلك مجموعة لوسيل الشهيرة، بشكل أكبر على هجمات على البورصات، ومواقع التصيد، والتوظيف الوهمي للاختراق. مؤخرًا، تحولوا بشكل واضح إلى هجمات “ذات مستوى ثقة عالية” ذات نجاح أعلى.
قبل فترة قصيرة، اتُهمت مجموعة لوسيل أيضًا بالتخطيط لهجوم على أكبر بورصة للعملات المشفرة في كوريا الجنوبية، مما أدى إلى خسارة حوالي 30.6 مليون دولار. وتشير بيانات متعددة إلى أن حجم سرقات العملات المشفرة عالميًا من المتوقع أن يصل إلى 2.17 مليار دولار بحلول منتصف عام 2025، وأن المحافظ الشخصية أصبحت الحلقة الأضعف.
وحذر خبراء الصناعة من أنه إذا طُلب منك تنزيل تصحيح أو أداة خلال اجتماع فيديو، فيجب قطع الاتصال على الفور، وفصل الشبكة، وإيقاف تشغيل الجهاز، مع نقل أصول المحفظة وإجراء فحوصات أمنية لتقليل مخاطر الخسائر المحتملة.