Pohjois-Korean hakkerit hyödyntävät zoom-ominaisuutta varastaakseen miljoonia kryptovaluuttoja
Uusi ja huolestuttava kyberrikoskampanja on suunnattu kryptovaluuttakauppiaille ja sijoittajille käyttämällä hyökkäysvektorina tuttua videoneuvottelualustaa Zoom. Voittoa tavoittelemattoman Security Alliancen (SEAL) ja kyberturvallisuusyrityksen Trail of Bitsin raportit ovat paljastaneet pohjoiskorealaisten hakkereiden järjestämän ovelan operaation, joka tunnetaan säälimättömistä hyökkäyksistä kryptosektoria vastaan. Tämä "Elusive Comet" -niminen kampanja paljastaa, kuinka kehittyneitä sosiaalisen suunnittelun uhista on tullut – ja kuinka päivittäisistä liiketoiminnan työkaluista voi tulla aseita väärissä käsissä.
Sisällysluettelo
Yritysmahdollisuuksiksi naamioitunut phishing-syötti
Hyökkääjien lähestymistapa on sekä vakuuttava että hienovarainen. Esiintyessään pääomasijoittajina tai podcast-isäntänä nämä hakkerit tavoittavat ensin oikeutetulta liikeehdotuksen. Uhreihin otetaan usein yhteyttä Calendly-linkkien kautta, jolloin heitä pyydetään sopiakseen Zoom-kokoukseen, jossa keskustellaan oletetusta investoinnista tai podcastin esiintymisestä. Alkuviestintä on suunniteltu näyttämään pikemminkin mahdollisuutena kuin uhkana, heikentäen kohteen puolustusta ja luomaan kiireellistä tunnetta viivyttämällä tapaamisen yksityiskohtia viime hetkellä.
Kun uhri liittyy suunniteltuun Zoom-puheluun, hyökkääjät tekevät liikkeensä. He pyytävät uhria jakamaan näytönsä – tavallinen pyyntö liikekeskusteluissa. Mutta sitten Zoomin kaukosäädintoimintoa hyödyntäen hakkerit pyytävät uhrin tietokoneen hallintaa. Petollinen käänne tekee tästä pyynnöstä entistä vaarallisemman: hyökkääjät vaihtavat Zoom-näyttönimensä "Zoomiksi", mikä naamioi lupaikkunan näyttämään tavalliselta, vaarattomalta järjestelmäilmoitukselta.
Yhdellä napsautuksella täydellinen kompromissi
Tällä yhdellä napsautuksella voit luovuttaa uhrin hiiren ja näppäimistön täyden hallinnan. Hyökkääjät ottavat nopeasti käyttöön infostealer-haittaohjelmia tai etäkäyttötroijalaisia (RAT), jotka etsivät koneelta selainistuntoja, tallennettuja salasanoja, salauslompakoiden siemenlauseita ja muita arkaluonteisia tietoja. SEALin lokit viittaavat "miljoonien dollareiden" varastettuihin varoihin näihin taktiikoihin, ja huomautetaan, että rikolliset luottavat väärennettyjen sosiaalisen median profiilien verkostoon ja hiottuihin verkkosivustoihin antaakseen uskottavuutta juonelleen.
Trail of Bits kohtasi hyökkäyksen omakohtaisesti. Yrityksen toimitusjohtaja sai viestejä X:ltä (entinen Twitter) -profiileista, joissa väitettiin olevansa Bloombergin tuottajia ja jotka vaativat lujasti viime hetken Zoom-haastattelua kryptovaluutoista. Tarkemmin tarkasteltuna Zoom-kokouslinkit johtivat kuluttajatason tileihin, eivät laillisiin yritystileihin. Hyökkääjät kieltäytyivät johdonmukaisesti kommunikoimasta sähköpostitse ja vaativat Zoomia, jossa he voisivat käynnistää hyväksikäyttönsä.
Virheellinen ominaisuus muuttui hyökkäysvektoriksi
Hyökkäyksen syynä on Zoomin kaukosäädinominaisuus, joka on suunniteltu yhteistyöhön, mutta jota voidaan käyttää väärin, jos käyttäjät eivät ole valppaita. Vaikka isännät voivat poistaa tämän toiminnon käytöstä tili-, ryhmä- tai käyttäjätasolla, se on usein jätetty oletusarvoisesti käyttöön yrityksen asetuksissa. Lupavalintaikkunasta puuttuu erotusmerkkejä, jotka osoittaisivat kolmannen osapuolen pyynnön, joten käyttäjät voivat helposti huijata rutiininomaisen kehotteen.
Trail of Bits varoittaa, että tämäntyyppinen hyökkäys on erityisen tehokas, koska se perustuu ihmisen käyttäytymiseen, ei ohjelmistovirheisiin. Monet ammattilaiset ovat tottuneet hyväksymään Zoom-ilmoitukset nopeasti, ja hyökkääjät hyödyntävät tätä tuttua ohittaakseen kokeneidenkin käyttäjien suojan. Yritys vetää tästä kampanjasta suoran viivan viimeaikaisiin korkean profiilin tapahtumiin, kuten 1,5 miljardin dollarin Bybit-hakkerointiin, joka myös perustui laillisten työnkulkujen manipulointiin koodin haavoittuvuuksien hyödyntämisen sijaan.
Suojaa vaikeaa komeetta uhkaa vastaan
Laajempi merkitys on huolestuttava: lohkoketjuteollisuuden kypsyessä hyökkääjät siirtävät huomionsa teknisistä hyväksikäytöistä inhimillisiin haavoittuvuuksiin. Käyttöturvallisuus – käyttäjien prosessien ja päätösten suojaaminen – on tullut yhtä tärkeäksi kuin ohjelmistovirheiltä suojautuminen.
Vastauksena Trail of Bits on ryhtynyt voimakkaisiin toimenpiteisiin poistamalla Zoomin kaukosäätimen käytöstä ja estäen esteettömyysluvat, jotka mahdollistavat tällaiset hyökkäykset häiritsemättä normaalia videoneuvottelun käyttöä. He kehottavat organisaatioita ja yksityishenkilöitä kryptosektorilla tekemään samoin, tarkistamaan Zoom-asetuksensa ja kouluttamaan käyttäjiä vaaroista, joita aiheutuu näytön jakamis- ja kauko-ohjauspyyntöjen sokeasta hyväksymisestä.
Kun miljoonia on jo kadonnut ja hyökkääjät jatkavat menetelmiensä parantamista, viesti on selvä: älä koskaan pidä videoneuvottelutyökaluja riskittömänä. Jos käyt kauppaa, sijoitat tai työskentelet kryptoalalla, harkitse kahdesti, ennen kuin hyväksyt odottamattomia kokouspyyntöjä – äläkä koskaan hyväksy kaukosäätimen kehotusta ilman ehdotonta varmuutta sen laillisuudesta. Uhka voi näyttää normaalilta, mutta panokset eivät ole koskaan olleet suuremmat.