Šiaurės Korėjos įsilaužėliai išnaudoja priartinimo funkciją, kad pavogtų milijonus kriptovaliutų
Nauja ir nerimą kelianti kibernetinių nusikaltimų kampanija skirta kriptovaliutų prekybininkams ir investuotojams, naudojant pažįstamą vaizdo konferencijų platformą Zoom kaip atakos vektorių. Pelno nesiekiančio saugumo aljanso (SEAL) ir kibernetinio saugumo įmonės „Trail of Bits“ ataskaitos atskleidė gudrią Šiaurės Korėjos įsilaužėlių surengtą operaciją, žinomą dėl nenumaldomų atakų prieš kriptovaliutų sektorių. Ši kampanija, pavadinta „Nepagaunama kometa“, atskleidžia, kokios sudėtingos tapo socialinės inžinerijos grėsmės ir kaip kasdieniai verslo įrankiai gali tapti ginklais netinkamose rankose.
Turinys
Sukčiavimo masalas, maskuojamas verslo galimybėmis
Puolėjų požiūris įtikinamas ir subtilus. Apsimetinėdami rizikos kapitalistais ar internetinių transliacijų rengėjais, šie įsilaužėliai pirmiausia pateikia, atrodo, teisėtą verslo pasiūlymą. Su aukomis dažnai susisiekiama per „Calendly“ nuorodas, kviečiant jas suplanuoti „Zoom“ susitikimą, kad būtų galima aptarti tariamą investiciją ar podcast'o pasirodymą. Pradinis bendravimas yra sukurtas taip, kad atrodytų kaip galimybė, o ne kaip grėsmė, sumažinant taikinio gynybą ir sukuriant skubos jausmą, atidedant susitikimo detales iki paskutinės minutės.
Kai auka prisijungia prie suplanuoto Zoom skambučio, užpuolikai imasi veiksmų. Jie prašo, kad auka pasidalintų savo ekranu – įprastas verslo diskusijų klausimas. Tačiau tada, pasinaudoję „Zoom“ nuotolinio valdymo funkcija, įsilaužėliai prašo valdyti aukos kompiuterį. Dėl apgaulingo posūkio šis prašymas tampa dar pavojingesnis: užpuolikai pakeičia savo mastelio keitimo pavadinimą į „Mastelio keitimas“, užmaskuodami leidimo dialogo langą, kad atrodytų kaip standartinis, nekenksmingas sistemos pranešimas.
Vienas paspaudimas iki visiško kompromiso
Šiuo vienu paspaudimu galima visiškai valdyti aukos pelę ir klaviatūrą. Užpuolikai greitai įdiegia „infostealer“ kenkėjišką programinę įrangą arba nuotolinės prieigos Trojos arklius (RAT), ieškančius kompiuteryje naršyklės seansų, išsaugotų slaptažodžių, kriptovaliutų piniginės pradinių frazių ir kitos neskelbtinos informacijos. SEAL žurnaluose ši taktika priskiriama „milijonams dolerių“ pavogtoms lėšoms, pažymint, kad nusikaltėliai remiasi netikrų socialinės žiniasklaidos profilių tinklu ir išblizgintomis svetainėmis, kad suteiktų patikimumo savo gudravimui.
„Trail of Bits“ su ataka susidūrė iš pirmų rankų. Įmonės vadovas gavo žinutes iš X (anksčiau vadinto „Twitter“) profilių, teigiančių, kad jie yra „Bloomberg“ gamintojai, ir taip stengėsi paskutinės minutės „Zoom“ interviu apie kriptovaliutą. Atidžiau pažvelgus, „Zoom“ susitikimo nuorodos nukreipė į vartotojų, o ne į teisėtas įmonių paskyras. Užpuolikai nuosekliai atsisakydavo bendrauti el. paštu, reikalaudami naudoti „Zoom“, kur galėtų pradėti savo išnaudojimą.
Sugedusi funkcija tapo atakos vektoriumi
Atakos šaknys yra „Zoom“ nuotolinio valdymo funkcija, skirta bendram darbui, tačiau gali būti piktnaudžiaujama, jei vartotojai nėra budrūs. Nors kompiuteriai gali išjungti šią funkciją paskyros, grupės ar vartotojo lygiu, įmonės nustatymuose ji dažnai paliekama pagal numatytuosius nustatymus. Leidimų dialogo lange nėra skiriamųjų ženklų, nurodančių trečiosios šalies užklausą, todėl naudotojai gali būti lengvai apgauti naudojant įprastą raginimą.
„Trail of Bits“ perspėja, kad tokio tipo atakos yra ypač veiksmingos, nes jos priklauso nuo žmogaus elgesio, o ne nuo programinės įrangos klaidų. Daugelis specialistų yra įpratę greitai patvirtinti mastelio keitimo pranešimus, o užpuolikai naudojasi šia įpratimu apeiti net patyrusių vartotojų apsaugą. Įmonė nubrėžia tiesioginę šios kampanijos liniją į naujausius didelio atgarsio sulaukusius incidentus, tokius kaip 1,5 mlrd.
Apsauga nuo nepagaunamos kometos grėsmės
Platesnė reikšmė kelia nerimą: „blockchain“ pramonei bręstant užpuolikai perkelia savo dėmesį nuo techninių išnaudojimų prie žmonių pažeidžiamumo. Veiklos saugumas – vartotojų procesų ir sprendimų apsauga – tapo tokia pat svarbi, kaip ir apsauga nuo programinės įrangos trūkumų.
Reaguodama į tai, „Trail of Bits“ ėmėsi griežtų priemonių, išjungdama „Zoom“ nuotolinio valdymo galimybę ir užblokuodama pasiekiamumo leidimus, dėl kurių tokios atakos įmanomos, netrukdant įprastam vaizdo konferencijų naudojimui. Jie ragina organizacijas ir asmenis kriptovaliutų sektoriuje daryti tą patį, peržiūrėti savo mastelio nustatymus ir šviesti vartotojus apie pavojus, kylančius aklai priimant ekrano bendrinimo ir nuotolinio valdymo užklausas.
Jau praradus milijonus žmonių, o užpuolikams ir toliau tobulinant savo metodus, žinia yra aiški: niekada nevertinkite vaizdo konferencijų įrankių kaip nerizikingų. Jei prekiaujate, investuojate ar dirbate kriptovaliutų pramonėje, gerai pagalvokite prieš priimdami netikėtus susitikimo užklausas ir niekada nepatvirtinkite nuotolinio valdymo raginimo be visiško jo teisėtumo. Grėsmė gali atrodyti kaip įprasta, tačiau statymas niekada nebuvo didesnis.