هاكرز كوريا الشمالية يحققون سرقة بقيمة 300 مليون دولار عبر اجتماعات زوم وهمية - وهنا لماذا يجب أن يهتم مستثمرو العملات الرقمية

انطلق الخبر كالصاعقة في أروقة التكنولوجيا المالية: مجموعة قرصنة مرتبطة بكوريا الشمالية تستغل منصات مؤتمرات الفيديو لتنفيذ سرقة ضخمة.

الطريقة: محاكاة احترافية

لم يكن الأمر متعلقًا باختراق تقني معقد للشبكات. بل اعتمد على الهندسة الاجتماعية ببراعة. أنشأ القراصنة حسابات وهمية لمدراء تنفيذيين، ودعوا موظفين من شركات تقنية ومالية إلى اجتماعات على "زوم" تبدو قانونية تمامًا. داخل تلك الغرف الافتراضية، نفذوا خطتهم.

الهدف: السيولة الرقمية

ركزت الحملة على سرقة الأصول الرقمية، حيث يُعتقد أن جزءًا كبيرًا من الـ 300 مليون دولار كان في شكل عملات مشفرة. يسلط هذا الضوء على تحول استراتيجي: فلم تعد الهجمات السيبرانية للدول تهدف فقط إلى التجسس أو التخريب، بل أصبحت آلية تمويل رئيسية.

تأثير القطاع: صفعة للثقة

يأتي هذا الحادث في وقت تحاول فيه صناعة العملات الرقمية نفض صورة الهامشية واجتذاب المؤسسات. مثل هذه الهجمات تذكر الجميع بأن البيئة لا تزال برية، وأن الحلول الأمنية يجب أن تتجاوز مجرد حماية المحافظ الباردة لتشمل تدريب الموظفين على أعلى مستوى.

الخلاصة: الثمن الباهظ للراحة

تكشف السرقة عن ثغرة هائلة في دفاعات الشركات العالمية: الاعتماد المفرط على أدوات اتصال مريحة ولكنها قابلة للتزوير. في النهاية، قد تكون تكلفة اجتماع سريع عبر "زوم" أعلى بكثير من فاتورة الاشتراك الشهرية - خاصة عندما تدفعها من خزينة الشركة. يبدو أن بعض الحكومات تجد في سوق العملات الرقمية المتقلب صيدًا ثمينًا، وهو تذكير قاسٍ بأن المال الرقمي لا يزال يحمل مخاطر تقليدية جدًا.

كيف تستنزف الاجتماعات الوهمية لكوريا الشمالية محافظ العملات الرقمية

قال موناهان إن هذه الحملة تختلف عن الهجمات الأخيرة التي اعتمدت على الذكاء الاصطناعي و"ديب فيك".

بل تعتمد على طريقة أبسط تستند إلى اختراق حسابات تيليغرام واستخدام لقطات فيديو مُعادة من مقابلات حقيقية.

🚨 WARNING (AGAIN)

DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.

They're taking over your Telegrams -> using them to rekt all your friends.

They've stolen over $300m via this METHod already.

Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v

عادة ما يبدأ الهجوم بعد أن يستولي القراصنة على حساب تيليغرام موثوق، وغالباً ما يكون تابعاً لمستثمر أو شخص التقى بالضحية سابقاً في مؤتمر.

بعد ذلك، يستغل المهاجمون تاريخ الدردشة السابق ليبدوا جديرين بالثقة، ثم يوجهون الضحية إلى مكالمة فيديو عبر زوم أو مايكروسوفت تيمز من خلال رابط كالنذلي مخفي.

فور بدء الاجتماع، يرى الضحية ما يبدو أنه بث فيديو مباشر من جهة الاتصال الخاصة به. لكن في الحقيقة، غالباً ما يكون تسجيلاً مُعاداً من بودكاست أو ظهور علني.

يأتي اللحظة الحاسمة عادة بعد تظاهر بوجود مشكلة فنية.

بعد الإشارة إلى وجود مشاكل في الصوت أو الفيديو، يحث المهاجم الضحية على استعادة الاتصال من خلال تنزيل سكريبت معين أو تحديث مجموعة أدوات تطوير البرمجيات، أو SDK. يحتوي الملف الذي يُحمّل في هذه المرحلة على الحمولة الخبيثة.

بمجرد تثبيته، يمنح البرنامج الضار—غالباً برنامج وصول عن بُعد (RAT)—تحكمًا كاملاً للمهاجم.

يستنزف محافظ العملات المشفرة وينقل بيانات حساسة، منها بروتوكولات الأمان الداخلية ورموز جلسات تيليغرام، التي تُستخدم بعدها لاستهداف الضحايا التاليين في الشبكة.

بالنظر إلى ذلك، حذر موناهان من أن هذا الأسلوب تحديداً يستغل المجاملة المهنية كسلاح.

يعتمد القراصنة على الضغط النفسي الناتج عن "اجتماع عمل" لدفع الضحية لاتخاذ قرار خاطئ، فيحوّلون طلب مساعدة روتينية إلى اختراق أمني كارثي.

يتعين على المشاركين في القطاع الآن اعتبار أي طلب لتنزيل برامج أثناء المكالمة بمثابة مؤشر لهجوم نشط.

في الوقت نفسه، تُعتبر استراتيجية "الاجتماعات الوهمية" جزءًا من هجوم أوسع من قبل جهات جمهورية كوريا الشعبية الديمقراطية (DPRK). سرقوا قرابة 2 مليار $ من هذا القطاع خلال السنة الماضية، منها اختراق بايبت.