Hakerët e Koresë së Veriut shfrytëzojnë veçorinë e Zoom për të vjedhur miliona në kriptovaluta
Një fushatë e re dhe shqetësuese e krimit kibernetik po synon tregtarët dhe investitorët e kriptomonedhave, duke përdorur platformën e njohur të videokonferencave Zoom si një vektor sulmi. Raportet nga Aleanca jofitimprurëse e Sigurisë (SEAL) dhe firma e sigurisë kibernetike Trail of Bits kanë ekspozuar një operacion dinak të orkestruar nga hakerat e Koresë së Veriut, të njohur për sulmet e tyre të pamëshirshme në sektorin e kriptove. Kjo fushatë, e quajtur "Comet e pakapshme", zbulon se sa të sofistikuara janë bërë kërcënimet e inxhinierisë sociale - dhe se si mjetet e përditshme të biznesit mund të bëhen armë në duart e gabuara.
Tabela e Përmbajtjes
Fishing Bait Masquerading si Mundësi Biznesi
Qasja e sulmuesve është bindëse dhe delikate. Duke imituar kapitalistët e sipërmarrjes ose hostet e podkasteve, këta hakerë fillimisht kontaktojnë me atë që duket të jetë një propozim legjitim biznesi. Viktimat shpesh kontaktohen përmes lidhjeve Calendly, duke i ftuar ata të caktojnë një takim të Zoom për të diskutuar një investim të supozuar ose paraqitje podcast. Komunikimi fillestar është krijuar për t'u shfaqur si një mundësi dhe jo një kërcënim, duke ulur mbrojtjen e objektivit dhe duke krijuar një ndjenjë urgjence duke vonuar detajet e takimit deri në minutën e fundit.
Pasi viktima bashkohet me thirrjen e planifikuar të Zoom, sulmuesit bëjnë lëvizjen e tyre. Ata kërkojnë që viktima të ndajë ekranin e tyre - një pyetje e zakonshme në diskutimet e biznesit. Por më pas, duke shfrytëzuar funksionin e Zoom Remote Control, hakerët kërkojnë kontrollin e kompjuterit të viktimës. Një kthesë mashtruese e bën këtë kërkesë edhe më të rrezikshme: sulmuesit ndryshojnë emrin e tyre të ekranit të Zoom në "Zoom", duke maskuar dialogun e lejeve që të duket si një njoftim standard dhe i padëmshëm i sistemit.
Një klik për kompromis total
Ky klikim i vetëm mund të japë kontrollin e plotë të miut dhe tastierës së viktimës. Sulmuesit vendosin shpejt malware të vjedhjes së informacionit ose trojanët e aksesit në distancë (RAT) që kërkojnë në makinë për sesionet e shfletuesit, fjalëkalimet e ruajtura, frazat e farës së portofolit të kriptove dhe informacione të tjera të ndjeshme. Regjistrat e SEAL i atribuojnë "miliona dollarë" në fondet e vjedhura këtyre taktikave, duke vënë në dukje se kriminelët mbështeten në një rrjet të profileve të rreme të mediave sociale dhe faqeve të internetit të lëmuara për t'i dhënë besueshmëri mashtrimit të tyre.
Trail of Bits u përball me sulmin nga dora e parë. CEO i firmës mori mesazhe nga profilet e X (ish-Twitter) që pretendonin se ishin prodhues të Bloomberg, duke nxitur fort për një intervistë të minutës së fundit në Zoom rreth kriptomonedhës. Me një inspektim më të afërt, lidhjet e takimit të Zoom çuan në llogari të kategorisë së konsumatorit, jo në llogari të ligjshme të korporatës. Sulmuesit refuzuan vazhdimisht të komunikonin me email, duke këmbëngulur në Zoom, ku mund të fillonin shfrytëzimin e tyre.
Një tipar me të meta i kthyer në vektor sulmi
Rrënja e sulmit është veçoria e kontrollit në distancë të Zoom, e cila është krijuar për punë bashkëpunuese, por mund të abuzohet nëse përdoruesit nuk janë vigjilentë. Megjithëse hostet mund ta çaktivizojnë këtë funksion në nivel llogarie, grupi ose përdoruesi, ai shpesh lihet si parazgjedhje në cilësimet e korporatës. Dialogut të lejeve i mungon ndonjë shenjë dalluese për të treguar një kërkesë të palës së tretë, duke e bërë të lehtë që përdoruesit të mashtrohen nga një kërkesë që duket rutinë.
Trail of Bits paralajmëron se ky lloj sulmi është veçanërisht efektiv sepse mbështetet në sjelljen njerëzore, jo në defektet e softuerit. Shumë profesionistë janë mësuar të miratojnë shpejt njoftimet e Zoom dhe sulmuesit e shfrytëzojnë këtë njohje për të anashkaluar mbrojtjen e përdoruesve me përvojë. Firma tërheq një vijë të drejtpërdrejtë nga kjo fushatë me incidentet e fundit të profilit të lartë, siç është hakimi prej 1.5 miliardë dollarësh në Bybit, i cili gjithashtu mbështetej në manipulimin e flukseve legjitime të punës sesa në shfrytëzimin e dobësive të kodit.
Mbrojtja kundër kërcënimit të pakapshëm të kometës
Implikimi më i gjerë është shqetësues: ndërsa industria e blockchain maturohet, sulmuesit po e zhvendosin fokusin e tyre nga shfrytëzimet teknike në dobësitë njerëzore. Siguria operacionale—mbrojtja e proceseve dhe vendimeve të përdoruesve—është bërë po aq e rëndësishme sa mbrojtja ndaj të metave të softuerit.
Si përgjigje, Trail of Bits ka marrë masa të forta, duke çaktivizuar aftësinë e telekomandës së Zoom dhe duke bllokuar lejet e aksesueshmërisë që bëjnë të mundur sulme të tilla, pa ndërhyrë në përdorimin normal të videokonferencës. Ata u bëjnë thirrje organizatave dhe individëve në sektorin e kriptove që të bëjnë të njëjtën gjë, duke rishikuar cilësimet e tyre të Zoom dhe duke edukuar përdoruesit për rreziqet e pranimit verbërisht të kërkesave për ndarjen e ekranit dhe telekomandë.
Me miliona të humbur tashmë dhe sulmuesit që vazhdojnë të përmirësojnë metodat e tyre, mesazhi është i qartë: kurrë mos i trajtoni mjetet e konferencave me video si pa rrezik. Nëse tregtoni, investoni ose punoni në industrinë e kriptove, mendoni dy herë përpara se të pranoni kërkesa të papritura për takime - dhe mos miratoni kurrë një kërkesë me telekomandë pa siguri absolute për legjitimitetin e saj. Kërcënimi mund të duket si biznes si zakonisht, por aksionet nuk kanë qenë kurrë më të larta.