Põhja-Korea häkkerid kasutavad suumifunktsiooni, et varastada miljoneid krüptovaluutasid
Uus ja häiriv küberkuritegevuse kampaania on suunatud krüptovaluutaga kauplejatele ja investoritele, kasutades ründevektorina tuttavat videokonverentsiplatvormi Zoom. Mittetulundusühingu Security Alliance (SEAL) ja küberjulgeolekufirma Trail of Bits aruanded paljastasid Põhja-Korea häkkerite korraldatud kavaluse operatsiooni, mis on tuntud oma lakkamatute rünnakute poolest krüptosektori vastu. See kampaania, mille nimeks on "Tabamatu komeet", paljastab, kui keerukaks on muutunud sotsiaalse inseneri ohud ja kuidas igapäevased äritööriistad võivad muutuda relvadeks valedes kätes.
Sisukord
Andmepüügisööt, mis maskeeritakse ärivõimalusteks
Ründajate lähenemine on ühtaegu veenev ja peen. Esinedes riskikapitalistideks või taskuhäälingusaadete hostideks, jõuavad need häkkerid esmalt õiguspärase äripakkumisega. Ohvritega võetakse sageli ühendust Calendly linkide kaudu, kutsudes neid kokku leppima Zoomi kohtumist, et arutada eeldatavat investeeringut või taskuhäälingusaadet. Esialgne suhtlus on kavandatud näima pigem võimaluse kui ohuna, alandades sihtmärgi kaitsevõimet ja tekitades kiireloomulisuse tunnet, lükates kohtumise üksikasjad viimasele minutile.
Kui ohver liitub kavandatud suumikõnega, teevad ründajad oma sammu. Nad nõuavad, et ohver jagaks oma ekraani – tavaline küsimus ärilistes aruteludes. Kuid siis, kasutades ära Zoomi kaugjuhtimispuldi, küsivad häkkerid ohvri arvutit kontrolli. Petlik pööre muudab selle taotluse veelgi ohtlikumaks: ründajad muudavad oma Suumi kuvanimeks "Suum", maskeerides lubade dialoogi tavalise kahjutu süsteemiteatisena.
Üks klõps täielikuks kompromissiks
Selle ühe klõpsuga saab ohvri hiire ja klaviatuuri üle täieliku kontrolli üle anda. Ründajad juurutavad kiiresti infostealeri pahavara või kaugjuurdepääsu troojalased (RAT), mis otsivad masinast brauseri seansse, salvestatud paroole, krüptorahakoti algfraase ja muud tundlikku teavet. SEAL-i logid omistavad sellele taktikale "miljoneid dollareid" varastatud vahenditena, märkides, et kurjategijad toetuvad võltsitud sotsiaalmeediaprofiilide võrgustikule ja lihvitud veebisaitidele, et anda oma kavalusele usaldusväärsust.
Trail of Bits puutus rünnakuga vahetult kokku. Ettevõtte tegevjuht sai X (endise Twitteri) profiililt sõnumeid, mis väidavad, et nad on Bloombergi tootjad, nõudes kõvasti viimase hetke Zoomi intervjuud krüptovaluuta kohta. Lähemal uurimisel viisid Zoomi koosoleku lingid tarbijatele mõeldud kontodele, mitte seaduslikele ettevõtete kontodele. Ründajad keeldusid järjekindlalt meili teel suhtlemast, nõudes Zoomi, kus nad saaksid oma ärakasutamise käivitada.
Vigane funktsioon muutis rünnakuvektoriks
Rünnaku juur on Zoomi kaugjuhtimisfunktsioon, mis on loodud koostööks, kuid mida saab kuritarvitada, kui kasutajad ei ole valvsad. Kuigi hostid saavad selle funktsiooni konto, rühma või kasutaja tasemel keelata, jäetakse see sageli ettevõtte seadetes vaikimisi sisse. Loadialoogis puudub eraldusmärk, mis viitaks kolmanda osapoole päringule, mistõttu on kasutajatel lihtne rutiinse väljanägemisega viipaga petta saada.
Trail of Bits hoiatab, et seda tüüpi rünnak on eriti tõhus, kuna see tugineb inimeste käitumisele, mitte tarkvaravigadele. Paljud spetsialistid on harjunud Zoom-teatisi kiiresti heaks kiitma ja ründajad kasutavad seda tuttavat ära, et isegi kogenud kasutajate kaitsemehhanismidest mööda minna. Ettevõte tõmbab sellelt kampaanialt otsese joone hiljutistele kõrgetasemelistele intsidentidele, nagu 1,5 miljardi dollari suurune Bybiti häkkimine, mis tugines ka seaduslike töövoogude manipuleerimisele, mitte koodi haavatavuste ärakasutamisele.
Kaitse tabamatu komeediohu eest
Laiem mõju on murettekitav: plokiahela tööstuse küpsedes suunavad ründajad oma tähelepanu tehnilistelt ärakasutamistelt inimeste haavatavustele. Kasutusturvalisus – kasutajate protsesside ja otsuste kaitsmine – on muutunud sama oluliseks kui tarkvaravigade eest kaitsmine.
Vastuseks on Trail of Bits võtnud jõulisi meetmeid, keelates Zoomi kaugjuhtimisvõimaluse ja blokeerides juurdepääsetavuse load, mis võimaldavad sellised rünnakud, ilma et see häiriks tavalist videokonverentsi kasutamist. Nad ärgitavad krüptosektori organisatsioone ja üksikisikuid tegema sama, vaadates üle oma suumi seaded ja harides kasutajaid ohtudest, mis kaasnevad ekraani jagamise ja kaugjuhtimistaotluste pimesi vastuvõtmisega.
Kuna miljonid on juba kadunud ja ründajad jätkavad oma meetodite täiustamist, on sõnum selge: ärge kunagi käsitlege videokonverentsi tööriistu riskivabana. Kui kauplete, investeerite või töötate krüptotööstuses, mõelge enne ootamatute kohtumiskutsete vastuvõtmist kaks korda järele ja ärge kunagi kinnitage kaugjuhtimispuldi viipa ilma selle legitiimsuse täieliku kindluseta. Oht võib tunduda tavapärase ärina, kuid panused pole kunagi olnud suuremad.