Hakerzy z Korei Północnej wykorzystują funkcję Zoom do kradzieży milionów w kryptowalucie
Nowa i niepokojąca kampania cyberprzestępczości jest skierowana przeciwko traderom i inwestorom kryptowalutowym, wykorzystując znaną platformę wideokonferencyjną Zoom jako wektor ataku. Raporty organizacji non-profit Security Alliance (SEAL) i firmy zajmującej się cyberbezpieczeństwem Trail of Bits ujawniły przebiegłą operację zorganizowaną przez północnokoreańskich hakerów, znanych z nieustępliwych ataków na sektor kryptowalut. Ta kampania, nazwana „Elusive Comet”, ujawnia, jak wyrafinowane stały się zagrożenia socjotechniczne — i jak codzienne narzędzia biznesowe mogą stać się bronią w niewłaściwych rękach.
Spis treści
Przynęta phishingowa podszywająca się pod okazje biznesowe
Podejście atakujących jest zarówno przekonujące, jak i subtelne. Podszywając się pod inwestorów venture capital lub gospodarzy podcastów, hakerzy najpierw kontaktują się z tym, co wydaje się być legalną propozycją biznesową. Ofiary są często kontaktowane za pośrednictwem łączy Calendly, zapraszając je do zaplanowania spotkania Zoom w celu omówienia domniemanej inwestycji lub wystąpienia w podcaście. Początkowa komunikacja ma sprawiać wrażenie okazji, a nie zagrożenia, obniżając obronę celu i budując poczucie pilności poprzez opóźnianie szczegółów spotkania do ostatniej chwili.
Gdy ofiara dołącza do zaplanowanej rozmowy na Zoomie, atakujący podejmują działania. Proszą ofiarę o udostępnienie ekranu — jest to zwykła prośba w rozmowach biznesowych. Jednak później, wykorzystując funkcję zdalnego sterowania Zoom, hakerzy proszą o kontrolę nad komputerem ofiary. Zwodniczy zwrot akcji sprawia, że prośba ta staje się jeszcze bardziej niebezpieczna: atakujący zmieniają swoją wyświetlaną nazwę Zoom na „Zoom”, maskując okno dialogowe z prośbą o pozwolenie, aby wyglądało jak standardowe, nieszkodliwe powiadomienie systemowe.
Jedno kliknięcie do całkowitego kompromisu
To jedno kliknięcie może przekazać pełną kontrolę nad myszką i klawiaturą ofiary. Atakujący szybko wdrażają złośliwe oprogramowanie typu infostealer lub trojany zdalnego dostępu (RAT), które przeszukują maszynę pod kątem sesji przeglądarki, zapisanych haseł, fraz źródłowych portfela kryptowalut i innych poufnych informacji. Dzienniki SEAL przypisują „miliony dolarów” skradzionych funduszy tym taktykom, zauważając, że przestępcy polegają na sieci fałszywych profili w mediach społecznościowych i wypolerowanych witrynach, aby nadać wiarygodności swojemu podstępowi.
Trail of Bits zetknął się z atakiem na własnej skórze. Dyrektor generalny firmy otrzymał wiadomości od profili X (dawniej Twitter), podających się za producentów Bloomberga, naciskających na wywiad Zoom w ostatniej chwili na temat kryptowaluty. Przy bliższym przyjrzeniu się, linki do spotkań Zoom prowadziły do kont konsumenckich, a nie do legalnych kont korporacyjnych. Atakujący konsekwentnie odmawiali komunikacji przez e-mail, nalegając na Zoom, gdzie mogliby uruchomić swój exploit.
Wadliwa funkcja stała się wektorem ataku
Podstawą ataku jest funkcja zdalnego sterowania Zoom, która jest przeznaczona do pracy zespołowej, ale może być nadużywana, jeśli użytkownicy nie są czujni. Chociaż gospodarze mogą wyłączyć tę funkcję na poziomie konta, grupy lub użytkownika, często jest ona domyślnie włączona w ustawieniach korporacyjnych. W oknie dialogowym uprawnień brakuje jakiegokolwiek znaku rozpoznawczego wskazującego na żądanie strony trzeciej, co ułatwia użytkownikom danie się nabrać na monit, który wygląda na rutynowy.
Trail of Bits ostrzega, że ten typ ataku jest szczególnie skuteczny, ponieważ opiera się na zachowaniu człowieka, a nie na błędach oprogramowania. Wielu profesjonalistów jest przyzwyczajonych do szybkiego zatwierdzania powiadomień Zoom, a atakujący wykorzystują tę znajomość, aby ominąć nawet obronę doświadczonych użytkowników. Firma łączy tę kampanię z niedawnymi głośnymi incydentami, takimi jak wart 1,5 miliarda dolarów atak na Bybit, który również polegał na manipulowaniu legalnymi przepływami pracy, a nie na wykorzystywaniu luk w zabezpieczeniach kodu.
Ochrona przed nieuchwytnym zagrożeniem komet
Szersze implikacje są niepokojące: w miarę dojrzewania branży blockchain atakujący przesuwają swoją uwagę z technicznych exploitów na ludzkie podatności. Bezpieczeństwo operacyjne — ochrona procesów i decyzji użytkowników — stało się równie ważne, jak obrona przed wadami oprogramowania.
W odpowiedzi Trail of Bits podjęło zdecydowane kroki, wyłączając możliwość zdalnego sterowania Zoom i blokując uprawnienia dostępu, które umożliwiają takie ataki, bez zakłócania normalnego korzystania z wideokonferencji. Apelują do organizacji i osób z sektora kryptograficznego, aby zrobili to samo, przejrzeli swoje ustawienia Zoom i edukowali użytkowników o niebezpieczeństwach związanych z bezmyślnym akceptowaniem udostępniania ekranu i żądań zdalnego sterowania.
Ponieważ miliony już zginęły, a atakujący wciąż udoskonalają swoje metody, przesłanie jest jasne: nigdy nie traktuj narzędzi do wideokonferencji jako wolnych od ryzyka. Jeśli handlujesz, inwestujesz lub pracujesz w branży kryptowalut, zastanów się dwa razy, zanim zaakceptujesz nieoczekiwane prośby o spotkanie — i nigdy nie zatwierdzaj monitu o zdalne sterowanie bez absolutnej pewności co do jego legalności. Zagrożenie może wyglądać jak zwykła działalność, ale stawka nigdy nie była wyższa.