Az észak-koreai hackerek a zoom funkciót kihasználva milliókat lopnak el kriptovalutában
Egy új és nyugtalanító kiberbűnözési kampány a kriptovaluta kereskedőket és befektetőket célozza meg, az ismerős Zoom videokonferencia-platformot használva támadási vektorként. A nonprofit Security Alliance (SEAL) és a Trail of Bits kiberbiztonsági cég jelentései leleplezték az észak-koreai hackerek által szervezett ravasz műveletet, amely a kriptoszektor elleni könyörtelen támadásairól ismert. Ez az „Elusive Comet” névre keresztelt kampány felfedi, milyen kifinomulttá váltak a social engineering fenyegetések – és hogyan válhatnak a mindennapi üzleti eszközök fegyverekké rossz kezekben.
Tartalomjegyzék
Üzleti lehetőségnek álcázott adathalász csali
A támadók megközelítése egyszerre meggyőző és finom. Ezek a hackerek kockázati tőkésítőknek vagy podcast-gazdáknak adják ki magukat, és először egy jogosnak tűnő üzleti ajánlattal lépnek fel. Az áldozatokkal gyakran a Calendly linkeken keresztül lépnek kapcsolatba, és felkérik őket, hogy ütemezzenek be egy Zoom-találkozót, hogy megvitassák a feltételezett befektetést vagy podcast megjelenést. A kezdeti kommunikációt úgy tervezték meg, hogy inkább lehetőségként, semmint fenyegetésként jelenjen meg, csökkentve a célpont védelmét, és a sürgősség érzését keltve azáltal, hogy az utolsó pillanatig elhalasztja a találkozó részleteit.
Miután az áldozat csatlakozik az ütemezett Zoom-híváshoz, a támadók megteszik a lépésüket. Azt kérik, hogy az áldozat ossza meg képernyőjét – ez egy szokásos kérdés az üzleti megbeszélések során. Ekkor azonban a Zoom távirányító funkcióját kihasználva a hackerek irányítást kérnek az áldozat számítógépe felett. Egy megtévesztő csavar még veszélyesebbé teszi ezt a kérést: a támadók a Zoom megjelenített nevüket „Zoom”-ra változtatják, így az engedélyezési párbeszédpanelt egy szabványos, ártalmatlan rendszerértesítésnek álcázzák.
Egy kattintás a teljes kompromisszumhoz
Ezzel az egyetlen kattintással átadhatja az áldozat egerének és billentyűzetének teljes irányítását. A támadók gyorsan telepítenek infostealer rosszindulatú programokat vagy távoli hozzáférésű trójaiakat (RAT), amelyek böngészőmunkameneteket, mentett jelszavakat, titkosítási pénztárca kezdő kifejezéseket és egyéb érzékeny információkat keresnek a gépen. A SEAL naplói „dollármilliókat” tulajdonítanak ellopott pénzeszközöknek ezeknek a taktikáknak, megjegyezve, hogy a bűnözők hamis közösségimédia-profilok hálózatára és csiszolt webhelyekre támaszkodnak, hogy hitelt adjanak csalásuknak.
Trail of Bits első kézből találkozott a támadással. A cég vezérigazgatója X (korábban Twitter) profiltól kapott üzeneteket, amelyekben azt állították, hogy Bloomberg gyártók, és keményen szorgalmazták az utolsó pillanatban a Zoom-interjút a kriptovalutákkal kapcsolatban. Közelebbről megvizsgálva, a Zoom találkozó linkjei fogyasztói szintű fiókokhoz vezettek, nem törvényes vállalati fiókokhoz. A támadók következetesen megtagadták az e-mailben történő kommunikációt, ragaszkodtak a Zoomhoz, ahol elindíthatták a kizsákmányolásukat.
Egy hibás funkció támadási vektor lett
A támadás gyökere a Zoom Remote Control funkciója, amelyet közös munkára terveztek, de visszaélhetnek vele, ha a felhasználók nem éberek. Bár a gazdagépek fiók-, csoport- vagy felhasználói szinten letilthatják ezt a funkciót, a vállalati beállításokban gyakran alapértelmezés szerint bekapcsolva marad. Az engedélyezési párbeszédpanelen hiányzik a harmadik féltől származó kérelmet jelző megkülönböztető jelzés, így a felhasználók könnyen becsaphatók egy rutinszerűnek tűnő felszólítással.
A Trail of Bits arra figyelmeztet, hogy az ilyen típusú támadások különösen hatékonyak, mert emberi viselkedésen, nem pedig szoftverhibákon alapulnak. Sok szakember hozzászokott ahhoz, hogy gyorsan jóváhagyja a Zoom-értesítéseket, és a támadók ezt az ismertséget kihasználva még a tapasztalt felhasználók védelmét is megkerülik. A cég egyenes vonalat húz ebből a kampányból a közelmúltbeli nagy horderejű incidensekre, mint például az 1,5 milliárd dolláros Bybit-hack, amely szintén a törvényes munkafolyamatok manipulálásán alapult, nem pedig a kódsebezhetőségek kihasználásán.
Védelem a megfoghatatlan üstökösfenyegetés ellen
A tágabb vonatkozás aggasztó: ahogy a blokklánc-ipar érik, a támadók figyelmüket a technikai kihasználásokról az emberi sebezhetőségekre helyezik át. A működési biztonság – a felhasználók folyamatainak és döntéseinek védelme – ugyanolyan fontossá vált, mint a szoftverhibák elleni védekezés.
Válaszul a Trail of Bits határozott intézkedéseket hozott, letiltva a Zoom távirányító képességét, és letiltva az ilyen támadásokat lehetővé tevő kisegítő lehetőségeket anélkül, hogy megzavarná a normál videokonferencia-használatot. Arra buzdítják a kriptoszektorban dolgozó szervezeteket és magánszemélyeket, hogy tegyék ugyanezt, nézzék át a Zoom beállításaikat, és tájékoztassák a felhasználókat a képernyőmegosztási és távirányítós kérések vakon történő elfogadásának veszélyeiről.
Mivel már milliók vesztek el, és a támadók továbbra is finomítják módszereiket, az üzenet egyértelmű: soha ne kezelje kockázatmentesnek a videokonferencia-eszközöket. Ha kereskedsz, fektetsz be vagy a kriptoiparban dolgozik, kétszer is gondold meg, mielőtt váratlan találkozókéréseket fogadsz el – és soha ne hagyj jóvá egy távirányító felszólítást anélkül, hogy teljesen bizonyos lenne annak legitimitását illetően. A fenyegetés a szokásos üzletmenetnek tűnhet, de a tét soha nem volt nagyobb.