Ziemeļkorejas hakeri izmanto tālummaiņas funkciju, lai nozagtu miljoniem kriptovalūtu
Jauna un satraucoša kibernoziedzības kampaņa ir vērsta uz kriptovalūtu tirgotājiem un investoriem, kā uzbrukuma vektoru izmantojot pazīstamo videokonferenču platformu Zoom. Bezpeļņas drošības alianses (SEAL) un kiberdrošības firmas Trail of Bits ziņojumos ir atklāta viltīga operācija, ko organizējuši Ziemeļkorejas hakeri, kas pazīstami ar saviem nemitīgajiem uzbrukumiem kriptovalūtu sektoram. Šī kampaņa, kas nodēvēta par “Netveramo komētu”, atklāj, cik sarežģīti ir kļuvuši sociālās inženierijas draudi un kā ikdienas biznesa rīki var kļūt par ieročiem nepareizās rokās.
Satura rādītājs
Pikšķerēšanas ēsma, kas tiek maskēta kā biznesa iespējas
Uzbrucēju pieeja ir gan pārliecinoša, gan smalka. Uzdodoties par riska kapitālistiem vai aplādes rīkotājiem, šie hakeri vispirms izvirza to, kas šķiet likumīgs biznesa piedāvājums. Ar upuriem bieži sazinās, izmantojot Calendly saites, aicinot viņus ieplānot Zoom sanāksmi, lai apspriestu iespējamo ieguldījumu vai aplādes izskatu. Sākotnējā saziņa ir veidota tā, lai tā parādītos kā iespēja, nevis kā drauds, pazeminot mērķa aizsardzību un radot steidzamības sajūtu, atliekot sanāksmes detaļas līdz pēdējai minūtei.
Kad upuris pievienojas plānotajam Zoom zvanam, uzbrucēji veic savu gājienu. Viņi pieprasa, lai upuris dalās ar savu ekrānu — parasta prasība biznesa diskusijās. Bet pēc tam, izmantojot Zoom tālvadības pults funkciju, hakeri lūdz kontrolēt upura datoru. Maldinošs pavērsiens padara šo pieprasījumu vēl bīstamāku: uzbrucēji maina savu Tālummaiņas displeja nosaukumu uz “Tālummaiņa”, maskējot atļauju dialoglodziņu, lai tas izskatītos kā standarta, nekaitīgs sistēmas paziņojums.
Viens klikšķis līdz pilnīgam kompromisam
Šis viens klikšķis var nodot pilnu kontroli pār upura peli un tastatūru. Uzbrucēji ātri izvieto informācijas zagšanas ļaunprātīgu programmatūru vai attālās piekļuves Trojas zirgus (RAT), kas iekārtā meklē pārlūkprogrammas sesijas, saglabātās paroles, kriptovalūtu maka sākuma frāzes un citu sensitīvu informāciju. SEAL žurnālos šai taktikai ir piedēvēti “miljoniem dolāru” nozagtos līdzekļos, norādot, ka noziedznieki paļaujas uz viltotu sociālo mediju profilu tīklu un slīpētām vietnēm, lai padarītu viņu viltus uzticamu.
Trail of Bits ar uzbrukumu saskārās pats. Uzņēmuma izpilddirektors saņēma ziņojumus no X (agrāk Twitter) profiliem, kas apgalvoja, ka viņi ir Bloomberg ražotāji, un tas bija ļoti spiests pēdējā brīža Zoom intervijai par kriptovalūtu. Rūpīgāk pārbaudot, Zoom sapulces saites noveda pie patērētāju līmeņa kontiem, nevis likumīgiem korporatīvajiem kontiem. Uzbrucēji konsekventi atteicās sazināties pa e-pastu, uzstājot uz Zoom, kur viņi varētu uzsākt savu ekspluatāciju.
Kļūdaina funkcija pārvērta uzbrukuma vektoru
Uzbrukuma pamatā ir Zoom tālvadības pults funkcija, kas paredzēta sadarbībai, taču to var ļaunprātīgi izmantot, ja lietotāji nav modri. Lai gan resursdatori var atspējot šo funkciju konta, grupas vai lietotāja līmenī, tā bieži tiek atstāta ieslēgta pēc noklusējuma uzņēmuma iestatījumos. Atļauju dialoglodziņā nav nekādas atšķirības zīmes, kas norādītu uz trešās puses pieprasījumu, tādējādi lietotājiem ir viegli tikt pieviltiem, izmantojot uzvedni, kas izskatās ierasta.
Trail of Bits brīdina, ka šāda veida uzbrukumi ir īpaši efektīvi, jo tie balstās uz cilvēka uzvedību, nevis programmatūras kļūdām. Daudzi profesionāļi ir pieraduši ātri apstiprināt tālummaiņas paziņojumus, un uzbrucēji izmanto šīs zināšanas, lai apietu pat pieredzējušu lietotāju aizsardzību. Uzņēmums velk tiešu līniju no šīs kampaņas uz nesenajiem augsta līmeņa incidentiem, piemēram, 1,5 miljardu dolāru Bybit uzlaušanu, kas arī balstījās uz manipulācijām ar likumīgām darbplūsmām, nevis uz koda ievainojamību izmantošanu.
Aizsardzība pret netveramiem komētas draudiem
Plašāka ietekme ir satraucoša: blokķēdes nozarei nobriest uzbrucēji pārceļ savu uzmanību no tehniskām darbībām uz cilvēku ievainojamību. Darbības drošība — lietotāju procesu un lēmumu aizsardzība — ir kļuvusi tikpat svarīga kā aizsardzība pret programmatūras kļūdām.
Reaģējot uz to, Trail of Bits ir veikusi stingrus pasākumus, atspējojot Zoom tālvadības pults iespējas un bloķējot piekļuves atļaujas, kas padara iespējamus šādus uzbrukumus, netraucējot normālu videokonferenču izmantošanu. Viņi mudina organizācijas un privātpersonas kriptovalūtu nozarē darīt to pašu, pārskatot savus tālummaiņas iestatījumus un izglītojot lietotājus par briesmām, kas rodas, akli pieņemot ekrāna koplietošanas un tālvadības pieprasījumus.
Tā kā miljoniem jau ir zaudēti un uzbrucēji turpina uzlabot savas metodes, vēstījums ir skaidrs: nekad neuztvert videokonferenču rīkus kā bezriska. Ja tirgojaties, ieguldāt vai strādājat kriptovalūtu nozarē, divreiz padomājiet, pirms pieņemat negaidītus tikšanās pieprasījumus, un nekad neapstipriniet tālvadības pults uzvedni, ja nav pilnīgas pārliecības par tās leģitimitāti. Draudi var izskatīties kā parasti, taču likmes nekad nav bijušas augstākas.