האקרים צפון קוריאנים מנצלים את תכונת הזום כדי לגנוב מיליונים במטבעות קריפטו
קמפיין חדש ומטריד של פשעי סייבר מכוון לסוחרים ומשקיעים במטבעות קריפטוגרפיים, תוך שימוש בפלטפורמת ועידת הווידאו המוכרת זום בתור וקטור התקפה. דיווחים של עמותת Security Alliance (SEAL) וחברת אבטחת הסייבר Trail of Bits חשפו פעולה ערמומית שתוזמנה על ידי האקרים צפון קוריאנים, הידועים בהתקפות הבלתי פוסקות שלהם על מגזר הקריפטו. הקמפיין הזה, שזכה לכינוי "שביט חמקמק", חושף עד כמה איומי הנדסה חברתית מתוחכמים הפכו - וכיצד כלים עסקיים יומיומיים יכולים להפוך לנשק בידיים הלא נכונות.
תוכן העניינים
פיתיון דיוג מתחזה להזדמנויות עסקיות
גישת התוקפים משכנעת ועדינה כאחד. כשהם מתחזים למשקיעי הון סיכון או למארחי פודקאסטים, ההאקרים האלה מגיעים תחילה עם מה שנראה כהצעה עסקית לגיטימית. לעתים קרובות יוצרים קשר עם קורבנות דרך קישורי Calendly, ומזמינים אותם לקבוע פגישת זום כדי לדון בהשקעה לכאורה או הופעת פודקאסט. התקשורת הראשונית נועדה להופיע כהזדמנות ולא איום, להנמיך את הגנות היעד ולבנות תחושת דחיפות על ידי דחיית פרטי הפגישה עד לרגע האחרון.
ברגע שהקורבן מצטרף לשיחת הזום המתוכננת, התוקפים עושים את הצעד שלהם. הם מבקשים מהקורבן לשתף את המסך שלהם - שאלה רגילה בדיונים עסקיים. אבל אז, תוך מינוף תכונת השלט הרחוק של זום, ההאקרים מבקשים שליטה במחשב של הקורבן. טוויסט מטעה הופך את הבקשה הזו למסוכנת עוד יותר: התוקפים משנים את שם תצוגת הזום שלהם ל"זום", ומסווים את תיבת הדו-שיח של ההרשאה כדי להיראות כמו הודעת מערכת רגילה ובלתי מזיקה.
קליק אחד לפשרה מוחלטת
לחיצה בודדת זו יכולה להעביר שליטה מלאה בעכבר ובמקלדת של הקורבן. התוקפים פורסים במהירות תוכנות זדוניות מסוג Infostealer או סוסים טרויאניים בגישה מרחוק (RATs) שמחפשים במכונה הפעלות דפדפן, סיסמאות שמורות, ביטויי זריעה של ארנק קריפטו ומידע רגיש אחר. היומנים של SEAL מייחסים לטקטיקות אלו "מיליוני דולרים" בכספים גנובים, ומציינים שהפושעים מסתמכים על רשת של פרופילי מדיה חברתית מזויפים ואתרי אינטרנט מלוטשים כדי להעניק אמינות לתחבולות שלהם.
Trail of Bits נתקל בהתקפה ממקור ראשון. מנכ"ל החברה קיבל הודעות מפרופילי X (לשעבר טוויטר) הטוענים שהם מפיקי בלומברג, ודוחפים חזק לראיון זום של הרגע האחרון על מטבעות קריפטוגרפיים. במבט מעמיק יותר, קישורי הפגישות של Zoom הובילו לחשבונות ברמת צרכנים, לא לחשבונות ארגוניים לגיטימיים. התוקפים סירבו בעקביות לתקשר בדוא"ל, והתעקשו על זום, שם יוכלו להפעיל את הניצול שלהם.
תכונה פגומה הפכה לוקטור התקפה
שורש המתקפה הוא תכונת ה-Remote Control של Zoom, אשר מיועדת לעבודה משותפת אך ניתן לנצל לרעה אם המשתמשים אינם ערניים. למרות שהמארחים יכולים להשבית את הפונקציה הזו ברמת החשבון, הקבוצה או המשתמש, היא נשארת לרוב פעילה כברירת מחדל בהגדרות הארגוניות. תיבת הדו-שיח של ההרשאה חסרה כל סימן מבחין כדי לציין בקשת צד שלישי, מה שמקל על משתמשים להערים על ידי הנחיה שנראית שגרתית.
Trail of Bits מזהיר שסוג זה של התקפה יעיל במיוחד מכיוון שהוא מסתמך על התנהגות אנושית, לא על באגים בתוכנה. אנשי מקצוע רבים רגילים לאשר במהירות הודעות זום, והתוקפים מנצלים את ההיכרות הזו כדי לעקוף אפילו הגנות של משתמשים מנוסים. החברה מותירה קו ישיר ממסע פרסום זה לתקריות עתירות פרופיל, כמו פריצת Bybit בשווי 1.5 מיליארד דולר, אשר נשענה גם על מניפולציה של זרימות עבודה לגיטימיות במקום ניצול פגיעויות קוד.
הגנה מפני איום השביט החמקמק
המשמעות הרחבה יותר מטרידה: ככל שתעשיית הבלוקצ'יין מתבגרת, התוקפים מעבירים את המיקוד שלהם מניצול טכני לפגיעויות אנושיות. אבטחה תפעולית - הגנה על תהליכים והחלטות של משתמשים - הפכה חשובה לא פחות מהגנה מפני פגמי תוכנה.
בתגובה, Trail of Bits נקטה באמצעים חזקים, משביתה את יכולת השלט הרחוק של Zoom וחסימה את הרשאות הנגישות שמאפשרות התקפות מסוג זה, מבלי להפריע לשימוש רגיל בשיחות ועידה בווידאו. הם קוראים לארגונים ויחידים במגזר הקריפטו לעשות את אותו הדבר, לסקור את הגדרות הזום שלהם ולחנך את המשתמשים לגבי הסכנות שבקבלה עיוורת של בקשות לשיתוף מסך ולשליטה מרחוק.
כשמיליונים כבר אבדו והתוקפים ממשיכים לשכלל את השיטות שלהם, המסר ברור: לעולם אל תתייחס לכלי ועידת וידאו כחסרי סיכון. אם אתה סוחר, משקיע או עובד בתעשיית הקריפטו, תחשוב פעמיים לפני שאתה מקבל בקשות לפגישה בלתי צפויות - ולעולם אל תאשר הנחיה בשלט רחוק ללא ודאות מוחלטת לגבי הלגיטימיות שלה. האיום אולי נראה כמו עסקים כרגיל, אבל ההימור מעולם לא היה גבוה יותר.