Χάκερ της Βόρειας Κορέας εκμεταλλεύονται τη λειτουργία Zoom για να κλέψουν εκατομμύρια σε κρυπτονομίσματα
Μια νέα και ανησυχητική καμπάνια για το έγκλημα στον κυβερνοχώρο στοχεύει εμπόρους και επενδυτές κρυπτονομισμάτων, χρησιμοποιώντας τη γνωστή πλατφόρμα τηλεδιάσκεψης Zoom ως φορέα επίθεσης. Αναφορές από τη μη κερδοσκοπική Security Alliance (SEAL) και την εταιρεία κυβερνοασφάλειας Trail of Bits αποκάλυψαν μια πανούργη επιχείρηση που ενορχηστρώθηκε από βορειοκορεάτες χάκερ, γνωστούς για τις ανελέητες επιθέσεις τους στον τομέα των κρυπτονομισμάτων. Αυτή η καμπάνια, που ονομάστηκε "Elusive Comet", αποκαλύπτει πόσο εξελιγμένες έχουν γίνει οι απειλές κοινωνικής μηχανικής - και πώς τα καθημερινά επιχειρηματικά εργαλεία μπορούν να γίνουν όπλα σε λάθος χέρια.
Πίνακας περιεχομένων
Το δόλωμα phishing μεταμφιέζεται ως επιχειρηματικές ευκαιρίες
Η προσέγγιση των επιτιθέμενων είναι και πειστική και λεπτή. Αυτοί οι χάκερ, υποδυόμενοι επιχειρηματίες επιχειρηματικού κεφαλαίου ή οικοδεσπότες podcast, επικοινωνούν πρώτα με κάτι που φαίνεται να είναι μια νόμιμη επιχειρηματική πρόταση. Συχνά γίνεται επικοινωνία με τα θύματα μέσω συνδέσμων Calendly, προσκαλώντας τα να προγραμματίσουν μια συνάντηση Zoom για να συζητήσουν μια υποτιθέμενη επένδυση ή εμφάνιση podcast. Η αρχική επικοινωνία έχει σχεδιαστεί για να εμφανίζεται ως ευκαιρία και όχι ως απειλή, χαμηλώνοντας την άμυνα του στόχου και χτίζοντας την αίσθηση του επείγοντος καθυστερώντας τις λεπτομέρειες της συνάντησης μέχρι την τελευταία στιγμή.
Μόλις το θύμα συμμετάσχει στην προγραμματισμένη κλήση Zoom, οι εισβολείς κάνουν την κίνησή τους. Ζητούν από το θύμα να μοιραστεί την οθόνη του—μια συνηθισμένη ερώτηση σε επαγγελματικές συζητήσεις. Στη συνέχεια, όμως, αξιοποιώντας τη δυνατότητα Remote Control του Zoom, οι χάκερ ζητούν τον έλεγχο του υπολογιστή του θύματος. Μια παραπλανητική ανατροπή καθιστά αυτό το αίτημα ακόμη πιο επικίνδυνο: οι εισβολείς αλλάζουν το εμφανιζόμενο όνομα Zoom σε "Zoom", αποκρύπτοντας το παράθυρο διαλόγου άδειας ώστε να μοιάζει με μια τυπική, αβλαβή ειδοποίηση συστήματος.
Ένα κλικ για πλήρη συμβιβασμό
Αυτό το μόνο κλικ μπορεί να παραδώσει τον πλήρη έλεγχο του ποντικιού και του πληκτρολογίου του θύματος. Οι εισβολείς αναπτύσσουν γρήγορα κακόβουλο λογισμικό κλοπής πληροφοριών ή trojans απομακρυσμένης πρόσβασης (RAT) που πραγματοποιούν αναζήτηση στο μηχάνημα για περιόδους σύνδεσης προγράμματος περιήγησης, αποθηκευμένους κωδικούς πρόσβασης, φράσεις βασικού πορτοφολιού κρυπτογράφησης και άλλες ευαίσθητες πληροφορίες. Τα ημερολόγια της SEAL αποδίδουν «εκατομμύρια δολάρια» σε κλεμμένα κεφάλαια σε αυτές τις τακτικές, σημειώνοντας ότι οι εγκληματίες βασίζονται σε ένα δίκτυο πλαστών προφίλ κοινωνικών μέσων και εκλεπτυσμένων ιστοσελίδων για να προσδώσουν αξιοπιστία στο τέχνασμα τους.
Το Trail of Bits αντιμετώπισε την επίθεση από πρώτο χέρι. Ο Διευθύνων Σύμβουλος της εταιρείας έλαβε μηνύματα από προφίλ X (πρώην Twitter) που ισχυρίζονταν ότι ήταν παραγωγοί του Bloomberg, πιέζοντας σκληρά για μια συνέντευξη της τελευταίας στιγμής στο Zoom σχετικά με τα κρυπτονομίσματα. Μετά από πιο προσεκτική εξέταση, οι σύνδεσμοι της συνάντησης Zoom οδήγησαν σε λογαριασμούς καταναλωτικού επιπέδου και όχι σε νόμιμους εταιρικούς. Οι επιτιθέμενοι αρνούνταν σταθερά να επικοινωνήσουν μέσω email, επιμένοντας στο Zoom, όπου θα μπορούσαν να ξεκινήσουν την εκμετάλλευσή τους.
Ένα ελαττωματικό χαρακτηριστικό που έγινε διάνυσμα επίθεσης
Η ρίζα της επίθεσης είναι η λειτουργία Remote Control του Zoom, η οποία έχει σχεδιαστεί για συλλογική εργασία, αλλά μπορεί να γίνει κατάχρηση εάν οι χρήστες δεν είναι προσεκτικοί. Παρόλο που οι οικοδεσπότες μπορούν να απενεργοποιήσουν αυτήν τη λειτουργία σε επίπεδο λογαριασμού, ομάδας ή χρήστη, συχνά παραμένει ενεργοποιημένη από προεπιλογή στις εταιρικές ρυθμίσεις. Το παράθυρο διαλόγου άδειας δεν διαθέτει διακριτικό σημάδι για να υποδείξει ένα αίτημα τρίτου μέρους, γεγονός που διευκολύνει τους χρήστες να εξαπατηθούν από μια προτροπή που φαίνεται ρουτίνα.
Το Trail of Bits προειδοποιεί ότι αυτός ο τύπος επίθεσης είναι ιδιαίτερα αποτελεσματικός επειδή βασίζεται στην ανθρώπινη συμπεριφορά και όχι σε σφάλματα λογισμικού. Πολλοί επαγγελματίες έχουν συνηθίσει να εγκρίνουν γρήγορα τις ειδοποιήσεις Zoom και οι εισβολείς εκμεταλλεύονται αυτή την εξοικείωση για να παρακάμψουν ακόμη και τις άμυνες έμπειρων χρηστών. Η εταιρεία τραβάει μια ευθεία γραμμή από αυτήν την καμπάνια σε πρόσφατα περιστατικά υψηλού προφίλ, όπως το χακάρισμα Bybit $1,5 δισεκατομμυρίων, το οποίο επίσης βασίστηκε στον χειρισμό νόμιμων ροών εργασίας αντί στην εκμετάλλευση ευπαθειών κώδικα.
Προστασία ενάντια στην άπιαστη απειλή του κομήτη
Η ευρύτερη επίπτωση είναι ανησυχητική: καθώς η βιομηχανία blockchain ωριμάζει, οι επιτιθέμενοι μετατοπίζουν το επίκεντρό τους από τα τεχνικά εκμετάλλευση σε ανθρώπινες ευπάθειες. Η λειτουργική ασφάλεια —η προστασία των διαδικασιών και των αποφάσεων των χρηστών— έχει γίνει εξίσου σημαντική με την άμυνα έναντι ελαττωμάτων λογισμικού.
Σε απάντηση, το Trail of Bits έλαβε ισχυρά μέτρα, απενεργοποιώντας τη δυνατότητα τηλεχειρισμού του Zoom και μπλοκάροντας τα δικαιώματα προσβασιμότητας που καθιστούν δυνατές τέτοιες επιθέσεις, χωρίς να παρεμποδίζουν την κανονική χρήση της τηλεδιάσκεψης. Προτρέπουν τους οργανισμούς και τα άτομα στον τομέα των κρυπτογράφησης να κάνουν το ίδιο, αναθεωρώντας τις ρυθμίσεις Zoom και εκπαιδεύοντας τους χρήστες σχετικά με τους κινδύνους της τυφλής αποδοχής αιτημάτων κοινής χρήσης οθόνης και τηλεχειρισμού.
Με εκατομμύρια ήδη χαμένους και τους επιτιθέμενους να συνεχίζουν να βελτιώνουν τις μεθόδους τους, το μήνυμα είναι σαφές: μην αντιμετωπίζετε ποτέ τα εργαλεία τηλεδιάσκεψης ως ακίνδυνα. Εάν πραγματοποιείτε συναλλαγές, επενδύετε ή εργάζεστε στη βιομηχανία κρυπτογράφησης, σκεφτείτε δύο φορές πριν αποδεχτείτε απροσδόκητες αιτήσεις συνάντησης και μην εγκρίνετε ποτέ ένα μήνυμα τηλεχειριστηρίου χωρίς απόλυτη βεβαιότητα για τη νομιμότητά του. Η απειλή μπορεί να μοιάζει με κάτι συνηθισμένο, αλλά το διακύβευμα δεν ήταν ποτέ υψηλότερο.