الأصول الرقمية تضليل升級！北韓 Lazarus 用 AI 深偽 Zoom 盜走數億 دولار

القراصنة الكوريون الشماليون يقومون بتحسين نوع شائع من تضليل الأصول الرقمية. وفقًا لتقرير شركة الأمن الرقمي كاسبرسكي، فإن أحد أكثر المنظمات الإجرامية رعبًا في كوريا الشمالية، مجموعة لازاروس، الفرع المعروف باسم BlueNoroff APT، تستخدم نشاطين جديدين يحملان اسم GhostCall و GhostHire، مستغلة الذكاء الاصطناعي والمكالمات المرئية المتكررة لزيادة مصداقيتها.

مجموعة Lazarus الكورية الشمالية تتحول من باحثين عن عمل إلى صيادين

（المصدر：X）

لقد أصبحت قراصنة التشفير من كوريا الشمالية تهديدًا عالميًا، ولكن استراتيجيات اختراقهم قد تغيرت بشكل كبير. كان هؤلاء المجرمون في الماضي يتقدمون بطلبات عمل في شركات Web3، محاولين سرقة الأصول أو زرع أبواب خلفية من خلال أن يصبحوا موظفين داخليين. ومع ذلك، فقد بدأوا مؤخرًا في استخدام رسائل توظيف مزيفة لنشر البرمجيات الخبيثة، متحولين من باحثين عن عمل إلى صيادين. الآن، تخططهم تتوسع مرة أخرى، وأصبح أسلوبهم أكثر صعوبة في التعرف عليه.

مجموعة لازاروس هي منظمة قراصنة مدعومة من حكومة كوريا الشمالية، وتعتبر من أكثر لصوص الأصول الرقمية نشاطًا ونجاحًا في العالم. وفقًا لتقديرات الأمم المتحدة وشركة تحليل blockchain Chainalysis، قامت المنظمة بسرقة أكثر من 3 مليارات دولار من الأصول الرقمية منذ عام 2017. تُستخدم هذه الأموال لتمويل برامج الأسلحة النووية والصواريخ في كوريا الشمالية، مما يجعلها تهديدًا للأمن الدولي.

في الماضي، كانت أساليب لازاروس خشنة نسبياً. كانوا يرسلون كميات كبيرة من رسائل التصيد، مرفقة بمستندات مصابة، على أمل أن ينقر أحدهم عليها. أو كانوا يتظاهرون بأنهم باحثون عن عمل على منصات التواصل الاجتماعي المهنية مثل لينكد إن، في محاولة لدخول شركات الأصول الرقمية من الداخل. على الرغم من أن هذه الطرق كانت ناجحة أحياناً، إلا أن معدل النجاح لم يكن مرتفعاً، لأن العديد من الشركات قد أنشأت آليات دفاعية مناسبة.

ومع ذلك، فإن BlueNoroff APT كفرع متخصص من مجموعة Lazarus يستهدف المؤسسات المالية وشركات الأصول الرقمية، يظهر مستوى أعلى من الاحترافية والقدرة على التكيف. وقد اكتشف باحثو كاسبرسكي أن نشاطي GhostCall وGhostHire يشتركان في نفس البنية التحتية الإدارية، مما يدل على أن هذه خطة هجوم متعددة الأبعاد منسقة جيدًا.

GhostCall و GhostHire تضليل الأصول الرقمية

تمثل GhostCall و GhostHire مرحلة جديدة من تضليل الأصول الرقمية، حيث تستهدف كل منهما أهدافًا مختلفة ولكنها تستخدم تقنيات الهندسة الاجتماعية المماثلة.

GhostCall: تضليل الاستثمار ضد كبار المستثمرين في Web3

في GhostCall ، يستهدف هؤلاء القراصنة الكوريون الشماليون قادة Web3 ، متظاهرين بأنهم مستثمرون محتملون. يقومون بدراسة خلفية الهدف ، وظروف الشركة ، والأنشطة الأخيرة ، ثم يرسلون مقترحات استثمارية أو دعوات للتعاون مصممة بشكل متقن. عادة ما تدعي هذه الرسائل أنها تمثل صناديق رأس المال الاستثماري المعروفة أو المكاتب العائلية ، وتظهر اهتمامها بالاستثمار بملايين الدولارات.

بمجرد أن تستجيب الهدف، سيقوم القراصنة بترتيب مؤتمر فيديو، وعادة ما يدعون أنهم يستخدمون Zoom أو Microsoft Teams. ومع ذلك، سيرسلون رابطًا لبرنامج اجتماعات “نسخة محدثة” أو “نسخة آمنة”، مدعين أن ذلك ضروري لحماية الأسرار التجارية أو الامتثال للمتطلبات التنظيمية. هذا البرنامج في الواقع هو نسخة مقلدة، يحتوي على شيفرة ضارة.

GhostHire: فخ التوظيف لمهندسي البلوكشين

من ناحية أخرى، يقوم GhostHire بجذب مهندسي blockchain بفرص عمل مغرية. يتظاهر القراصنة بأنهم موظفو توظيف من شركات العملات الرقمية المعروفة أو المشاريع الناشئة، ويقدمون رواتب وحوافز أسهم تتجاوز بكثير متوسط السوق. لاختبار مهارات المرشحين، سيطلبون إكمال تحدي برمجي أو مهمة تقنية.

تتضمن هذه المهمة عادةً تنزيل مستودع GitHub أو بيئة تطوير مخصصة. ومع ذلك، تحتوي هذه الملفات على برامج ضارة، وعند تنفيذها ستصيب النظام. تشير كاسبرسكي إلى أن هؤلاء المخترقين بدأوا في التركيز على أنظمة التشغيل المفضلة لمطوري العملات الرقمية، خاصة macOS و Linux، وقاموا بتطوير أنواع من البرامج الضارة بشكل مستهدف.

توجد عيب مشترك في هذين النوعين من الأصول الرقمية التضليل: يجب على الضحايا التفاعل فعليًا مع البرمجيات المشبوهة. وهذا يضر بمعدل نجاح الاحتيالات السابقة، لأن المزيد والمزيد من المحترفين ذوي الوعي الأمني ​​يرفضون تحميل البرمجيات غير المعروفة المصدر. ومع ذلك، وجد هؤلاء الهاكرز الكوريون الشماليون طريقة جديدة لإعادة استغلال الفرص المفقودة، وهذا هو المفتاح لارتفاع التهديدات الحالية.

تقنية الذكاء الاصطناعي العميقة تحوّل الفشل إلى سلاح جديد

إن التعاون المعزز بين GhostCall و GhostHire يمكّن القراصنة من تحسين تقنيات الهندسة الاجتماعية الخاصة بهم، وهذا هو التطور الأكثر خطورة في عمليات تضليل الأصول الرقمية الحالية. بالإضافة إلى المحتوى الذي تم إنشاؤه بواسطة الذكاء الاصطناعي، يمكنهم أيضًا الاستفادة من حسابات رواد الأعمال الحقيقيين المخترقة أو مقاطع مكالمات الفيديو الحقيقية لجعل عمليات تضليلهم أكثر مصداقية.

طريقة العمل المحددة هي كما يلي: عندما يقطع أحد كبار العملات الرقمية الاتصال بالموظفين أو المستثمرين المشبوهين، فإن القراصنة لن يتخلوا ببساطة. بدلاً من ذلك، يقومون بتسجيل عملية التفاعل بالكامل، بما في ذلك أي مشاهد في مكالمة الفيديو، ومقاطع صوتية، والبيئة المحيطة. حتى إذا فشلت هذه الخدعة، فإن هذه المواد تصبح سلاحًا للهجوم على الضحية التالية.

باستخدام الذكاء الاصطناعي، يمكن للقراصنة إنشاء “حوارات” جديدة، تقلد نبرة الإنسان، وإيماءاته، والبيئة المحيطة به بشكل مذهل.

التوليف العميق للفيديو: يمكن للقراصنة استخدام أدوات الذكاء الاصطناعي لتوليف فيديو حقيقي مدته 30 ثانية تم الحصول عليه من عملية تضليل فاشلة، ليصبح عرضًا مدته 5 دقائق “لجلسة توضيحية استثمارية” أو “مقابلة تقنية”، حيث تكون تعبيرات وجه الضحية وحركات شفتيه متزامنة تمامًا مع الصوت المزيف.

استنساخ الصوت: حتى مع عينة صوتية تستغرق بضع ثوانٍ فقط، يمكن لأدوات الذكاء الاصطناعي الحديثة إنتاج استنساخ صوتي يكاد يكون من المستحيل تمييزه عن الصوت الحقيقي. يمكن للقراصنة جعل “الضحية” “توصي” بفرصة استثمارية أو عملية تجنيد جديدة في خدعة جديدة.

تداخل الهوية: الأمر الأكثر تعقيدًا هو أن المخترقين يقومون بدمج مواد متعددة من خدع فاشلة، لإنشاء نظام بيئي مزيف كامل. على سبيل المثال، قد يجعلون “المستثمر A” يذكر “المؤسس B” في الفيديو، وكلاهما كانا ضحية لخدع سابقة.

مدى خطورة هذا الأمر، يمكن تخيله. قد ينجو مؤسس مشروع أصول رقمية من هجوم بسبب يقظته، لكنه يكتشف أن صورته قد تم استخدامها بعد بضعة أسابيع لخداع مؤسسين أو مستثمرين آخرين. والأسوأ من ذلك، قد تنتشر هذه المحتويات العميقة المزيفة على وسائل التواصل الاجتماعي أو الشبكات المهنية، مما يلحق الضرر بسمعة الضحية.

سلسلة الهجمات الفعلية ونصائح الدفاع

بغض النظر عن من هو الهدف، فإن سلسلة هجمات تضليل الأصول الرقمية الفعلية تتبع نمطًا مشابهًا:

المرحلة الأولى: البحث والاتصال

يبحث القراصنة عن الأهداف على LinkedIn وTwitter ومنتديات الأصول الرقمية، ويجمعون المعلومات الشخصية والمهنية، ثم يرسلون رسائل أولية مخصصة للغاية.

المرحلة الثانية: بناء الثقة

من خلال التواصل المتكرر ومكالمات الفيديو (قد تستخدم تقنيات التزييف العميق) لبناء علاقة ثقة، مما يجعل الهدف يسترخي.

المرحلة الثالثة: التحميل الإلزامي

بسبب أسباب معقولة (اختبار، امتثال، سرية) يطلب من الهدف تنزيل برنامج أو ملف معين.

المرحلة الرابعة: اختراق النظام

بمجرد تنفيذ برنامج ضار، يحصل المخترق على حق الوصول إلى النظام، ويسرق المفاتيح الخاصة أو عبارات البذور أو ينقل الأصول مباشرة.

المرحلة الخامسة: جمع المواد

حتى لو فشل الهجوم، سيقوم القراصنة بجمع جميع مقاطع الفيديو والصوت والمعلومات التي تم التفاعل معها للاستخدام في الهجمات المستقبلية.

إجراءات الدفاع الرئيسية

التحقق الصارم من الهوية: من خلال عدة قنوات مستقلة لتأكيد هوية الطرف الآخر، لا تعتمد فقط على وسيلة اتصال واحدة.

رفض البرمجيات غير القياسية: الالتزام باستخدام أدوات مثل Zoom و Teams التي تم تنزيلها من المصدر الرسمي، ورفض أي “إصدارات خاصة”.

بيئة اختبار معزولة: إذا كان من الضروري اختبار الشيفرة أو الوثائق، استخدم آلة افتراضية أو بيئة صندوق الرمل، ولا تقم أبداً بالتنفيذ على النظام الرئيسي.

كن حذرًا من أساليب الضغط العالي: أي موقف يخلق شعورًا بالاستعجال، أو يتطلب اتخاذ قرارات سريعة، أو يدعي “فرصة واحدة فقط” يجب أن يُشكك فيه بشدة.

محفظة الأجهزة والتوقيع المتعدد: تأكد من تخزين المفاتيح الخاصة في محفظة الأجهزة، واستخدم التوقيع المتعدد لحماية الأصول الهامة.

حتى لو فشلت هذه التضليلات الخاصة بالأصول الرقمية، فإن الأضرار المحتملة لا تزال ضخمة. يجب على أي شخص يتعرض لظروف غير عادية أو ضغط مرتفع أن يظل حذرًا، وألا يقوم بتحميل برامج غير مألوفة أو قبول طلبات غير مناسبة. التطور المستمر لمجموعة لازاروس الكورية الشمالية يظهر أن أمان الأصول الرقمية لم يعد مجرد مسألة تقنية، بل هو حرب طويلة الأمد ضد المهاجمين على مستوى الدولة.