Severnokorejski hekerji izkoriščajo funkcijo Zoom za krajo milijonov v kriptovaluti
Nova in zaskrbljujoča kampanja kibernetskega kriminala cilja na trgovce in vlagatelje s kriptovalutami, pri čemer uporablja znano platformo za videokonference Zoom kot vektor napada. Poročila neprofitne organizacije Security Alliance (SEAL) in podjetja za kibernetsko varnost Trail of Bits so razkrila zvito operacijo, ki so jo orkestrirali severnokorejski hekerji, znani po svojih neusmiljenih napadih na kripto sektor. Ta kampanja, poimenovana »Neulovljiv komet«, razkriva, kako sofisticirane so postale grožnje družbenega inženiringa – in kako lahko vsakodnevna poslovna orodja postanejo orožje v napačnih rokah.
Kazalo
Vaba za lažno predstavljanje, ki se predstavlja kot poslovne priložnosti
Pristop napadalcev je hkrati prepričljiv in subtilen. Ti hekerji, ki se lažno predstavljajo kot lastniki tveganega kapitala ali gostitelji podcastov, najprej dosežejo nekaj, kar se zdi legitimen poslovni predlog. Žrtve pogosto stopijo v stik prek povezav Calendly in jih povabijo, da se dogovorijo za sestanek Zoom, da bi razpravljali o domnevni naložbi ali nastopu v podcastu. Začetna komunikacija je zasnovana tako, da je videti kot priložnost in ne kot grožnja, znižuje obrambo tarče in ustvarja občutek nujnosti z odlašanjem podrobnosti sestanka do zadnje minute.
Ko se žrtev pridruži načrtovanemu klicu Zoom, napadalci naredijo svojo potezo. Zahtevajo, da žrtev deli svoj zaslon – običajno vprašanje v poslovnih pogovorih. Potem pa hekerji z uporabo Zoomove funkcije za daljinsko upravljanje zahtevajo nadzor nad žrtvinim računalnikom. Zaradi zavajajočega zasuka je ta zahteva še bolj nevarna: napadalci spremenijo svoje prikazno ime Zoom v »Zoom«, s čimer prikrijejo pogovorno okno za dovoljenja, da je videti kot standardno, neškodljivo sistemsko obvestilo.
En klik do popolnega kompromisa
Ta en sam klik lahko preda popoln nadzor nad miško in tipkovnico žrtve. Napadalci hitro namestijo zlonamerno programsko opremo infostealer ali trojance za oddaljeni dostop (RAT), ki v napravi iščejo seje brskalnika, shranjena gesla, semenske fraze kripto denarnice in druge občutljive informacije. SEAL-ovi dnevniki tem taktikam pripisujejo "milijone dolarjev" ukradenih sredstev, pri čemer ugotavljajo, da se kriminalci zanašajo na mrežo lažnih profilov v družabnih omrežjih in uglajenih spletnih mest, ki dajejo verodostojnost svoji zvijači.
Trail of Bits se je z napadom srečal iz prve roke. Izvršni direktor podjetja je prejel sporočila s profilov X (prej Twitter), ki trdijo, da so proizvajalci Bloomberga, in si močno prizadevajo za intervju Zoom v zadnjem trenutku o kriptovaluti. Ob natančnejšem pregledu so povezave do sestankov Zoom vodile do uporabniških računov, ne do zakonitih poslovnih. Napadalci so dosledno zavračali komunikacijo po e-pošti in vztrajali pri Zoomu, kjer bi lahko zagnali svoje podvige.
Pomanjkljiva funkcija je postala vektor napada
Koren napada je Zoomova funkcija daljinskega upravljanja, ki je zasnovana za skupno delo, vendar jo je mogoče zlorabiti, če uporabniki niso pozorni. Čeprav lahko gostitelji onemogočijo to funkcijo na ravni računa, skupine ali uporabnika, je v nastavitvah podjetja pogosto privzeto vklopljena. Pogovorno okno za dovoljenja nima nobenih razločevalnih oznak, ki bi označevale zahtevo tretje osebe, zaradi česar uporabniki zlahka pretentajo poziv, ki je videti rutinski.
Trail of Bits opozarja, da je ta vrsta napada še posebej učinkovita, ker se opira na človeško vedenje, ne na napake programske opreme. Številni strokovnjaki so navajeni, da hitro odobrijo obvestila Zoom, napadalci pa izkoristijo to domačnost, da zaobidejo obrambo celo izkušenih uporabnikov. Podjetje potegne neposredno linijo od te kampanje do nedavnih odmevnih incidentov, kot je 1,5 milijarde dolarjev vreden vdor v Bybit, ki se je prav tako zanašal na manipulacijo zakonitih delovnih tokov in ne na izkoriščanje ranljivosti kode.
Zaščita pred izmuzljivo grožnjo kometa
Širša posledica je zaskrbljujoča: ko industrija blockchain dozoreva, se napadalci osredotočajo s tehničnih izkoriščanj na človeške ranljivosti. Operativna varnost – zaščita procesov in odločitev uporabnikov – je postala prav tako pomembna kot obramba pred napakami programske opreme.
V odgovor je Trail of Bits sprejel stroge ukrepe, onemogočil zmožnost daljinskega upravljanja Zooma in blokiral dovoljenja za dostopnost, ki omogočajo takšne napade, ne da bi motili običajno uporabo videokonferenc. Pozivajo organizacije in posameznike v kripto sektorju, da storijo enako, pregledajo svoje nastavitve Zoom in poučijo uporabnike o nevarnostih slepega sprejemanja zahtev za skupno rabo zaslona in daljinsko upravljanje.
Ker so milijoni že izgubljeni in napadalci še naprej izpopolnjujejo svoje metode, je sporočilo jasno: nikoli ne obravnavajte orodij za videokonference kot netveganih. Če trgujete, vlagate ali delate v kriptoindustriji, dvakrat premislite, preden sprejmete nepričakovane zahteve za sestanek – in nikoli ne odobrite poziva za daljinsko upravljanje brez popolne gotovosti o njegovi legitimnosti. Grožnja je morda videti kot običajno, vendar vložki še nikoli niso bili višji.