مجموعة هاكرز من كوريا الشمالية تنتحل شخصيات مدراء كبرى الشركات في اجتماعات Zoom عن طريق تقنية الـ Deepfake

في تطور جديد أضاف تعقيداً إضافياً لمخاطر الاختراق الإلكتروني، بدأت مجموعة هاكرز من كوريا الشمالية تُعرف باسم "بلو نوروف" (BlueNoroff)، بتنفيذ هجمات متطورة من خلال تقنية "التزييف العميق" (Deepfake) في اجتماعات تطبيق "زووم" (Zoom)، وذلك بهدف خداع موظفي الشركات وتنزيل برمجيات خبيثة على أجهزة "ماك" (macOS) الخاصة بهم.

واكتشف باحثون أمنيون من شركة "هنتريس" (Huntress) هذا النشاط بعد استدعائهم من شركة تقنية للتحقيق في حادثة اختراق محتملة. وتبين أن الضحية تلقى اتصالاً عبر تطبيق "تليغرام"، قدّم خلاله المخترق نفسه كخبير خارجي من أجل تنظيم اجتماع عمل. وكانت المفاجأة أن الرابط المرسل للاجتماع ظاهريًا عبر تطبيق "غوغل ميت" (Google Meet)، كان مزيفاً وبحرفية شديدة قاد الضحية إلى دخول رابط مريب، خدعه لينتقل إلى زووم وهمي يتحكم فيه المهاجمون.

ويبدو أن "بلو نوروف" تعمل بإتقان عال وتجهيز مسبق، حيث تضمن الاجتماع المزيف فيديوهات "تزييف عميق" لمسؤولين كبار في الشركة إلى جانب مشاركين خارجيين لإضفاء طابع من المصداقية. أثناء هذا الاجتماع، واجهت الضحية مشاكل تقنية مفتعلة كتعطل الميكروفون، وطلب مهاجمو "التزييف العميق" من الموظف تحميل ملف بحجة إصلاح المشكلة التقنية، لكنه في الحقيقة برنامج نصي ضار (AppleScript).

هذا الأسلوب الذي يعتمده المخترقون مشابه لحملة نُسبت سابقاً إلى مجموعة أخرى تابعة لكوريا الشمالية تدعى "Elusive Comet"، وكانت شركة "Trail of Bits" الأمنية قد نبهت لها في أبريل الماضي.

وبعد تحميل المستخدم للبرنامج النصي وتشغيله، فتح البرنامج بالفعل صفحة رسمية لـ"زووم" لإيهام المستخدم بالسلامة والأمان، لكنه بالتزامن بدأ بتحميل برمجيات خبيثة إضافية من مصدر خارجي يملكه القراصنة أنفسهم. وأوضح تقرير شركة "هنتريس" أن البرمجيات الخبيثة تتعامل بحرص شديد من خلال تعطيل سجلات الأوامر وإخفاء ملفّات خبيثة عن الأنظار، والتأكد من إمكانية تشغيل البرمجيات الضارة دون مشاكل من خلال تثبيت برنامج خاص يدعى "روزيتا 2" (Rosetta 2)، والذي يمكّن أجهزة الماك الحديثة من تشغيل تطبيقات مخصصة لمعالجات أقدم تعتمد على بنية مختلفة.

وتكشف المعلومات التي حصلت عليها "هنتريس" أن الاختراق استهدف غالباً سرقة العملات الرقمية أو بيانات حساسة يمكن استخدامها في عمليات احتيال نقدية، وهو أسلوب يعتمد عليه قراصنة كوريا الشمالية بشكل متكرر في السنوات الأخيرة. تضاف هذه الواقعة إلى سلسلة هجمات أعلنت عنها شركات كبرى مثل "مايكروسوفت"، و"كاسبرسكي"، و"سنتينال لابز" (SentinelLabs)، استهدفت قطاع العملات المشفرة بأساليب مماثلة.

ويضاعف هذا التوجه الضغطَ الأمني على مستخدمي أجهزة macOS، الذين ربما يشعرون بزائف أمان نسبي مقارنة بمستخدمي أنظمة تشغيل أخرى، فمع بزوغ نجم أجهزة آبل في عالم الأعمال، تضاعفت جهود المهاجمين للوصول إلى ثغرات محتملة عبر برامج ضارّة متقدمة ومخصصة لاستهداف هذا النظام تحديداً.

لهذا، يجدر بالمستخدمين الوعي والتشكك من الرسائل واللقاءات الرقمية مجهولة المصدر، والتأكد من تحميل البرمجيات والملفات من مصادرها الرسمية الموثوقة فقط. وتبقى البرمجيات والتحديثات الأمنية الدقيقة والمتواصلة، إضافة إلى التدريب ورفع مستوى الوعي لدى الأفراد داخل المنظمات، مصدراً مهماً لتعزيز الوقاية في وجه أخطار الاختراق الإلكتروني التي تزداد حدّة يوماً بعد آخر.