แฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์จากฟีเจอร์ Zoom เพื่อขโมยเงินดิจิตอลมูลค่าหลายล้านเหรียญ
แคมเปญอาชญากรรมทางไซเบอร์รูปแบบใหม่ที่น่ากังวลกำลังกำหนดเป้าหมายไปที่ผู้ซื้อขายและนักลงทุนสกุลเงินดิจิทัล โดยใช้แพลตฟอร์มการประชุมทางวิดีโอ Zoom ที่คุ้นเคยกันดีเป็นช่องทางการโจมตี รายงานจากองค์กรไม่แสวงหากำไร Security Alliance (SEAL) และบริษัทด้านความปลอดภัยทางไซเบอร์ Trail of Bits ได้เปิดเผยปฏิบัติการอันแยบยลที่วางแผนโดยแฮกเกอร์ชาวเกาหลีเหนือ ซึ่งเป็นที่รู้จักจากการโจมตีภาคส่วนสกุลเงินดิจิทัลอย่างไม่ลดละ แคมเปญนี้ซึ่งมีชื่อว่า "Elusive Comet" เผยให้เห็นว่าภัยคุกคามทางวิศวกรรมสังคมมีความซับซ้อนเพียงใด และเครื่องมือทางธุรกิจทั่วไปอาจกลายเป็นอาวุธในมือที่ผิดได้อย่างไร
สารบัญ
เหยื่อล่อฟิชชิ่งที่แอบอ้างว่าเป็นโอกาสทางธุรกิจ
วิธีการของผู้โจมตีนั้นทั้งน่าเชื่อถือและแยบยล แฮ็กเกอร์แอบอ้างตัวเป็นนักลงทุนเสี่ยงภัยหรือผู้จัดรายการพอดแคสต์ โดยแฮ็กเกอร์จะยื่นข้อเสนอทางธุรกิจที่ดูเหมือนถูกต้องตามกฎหมายก่อนเป็นอันดับแรก เหยื่อมักได้รับการติดต่อผ่านลิงก์ Calendly โดยเชิญให้กำหนดเวลาประชุม Zoom เพื่อหารือเกี่ยวกับการลงทุนหรือการปรากฏตัวในพอดแคสต์ การสื่อสารเบื้องต้นได้รับการออกแบบให้ดูเหมือนเป็นโอกาสมากกว่าภัยคุกคาม ทำให้การป้องกันของเป้าหมายลดลง และสร้างความรู้สึกเร่งด่วนด้วยการเลื่อนรายละเอียดการประชุมออกไปจนถึงนาทีสุดท้าย
เมื่อเหยื่อเข้าร่วมการประชุมทาง Zoom ตามกำหนดการ ผู้โจมตีจะเริ่มดำเนินการ โดยขอให้เหยื่อแชร์หน้าจอของตน ซึ่งเป็นคำขอทั่วไปในการสนทนาทางธุรกิจ แต่จากนั้น แฮกเกอร์ก็ใช้คุณสมบัติ Remote Control ของ Zoom เพื่อขอควบคุมคอมพิวเตอร์ของเหยื่อ การกระทำที่หลอกลวงทำให้คำขอนี้ยิ่งอันตรายยิ่งขึ้นไปอีก ผู้โจมตีเปลี่ยนชื่อที่แสดงใน Zoom เป็น "Zoom" โดยปกปิดกล่องโต้ตอบการอนุญาตเพื่อให้ดูเหมือนการแจ้งเตือนระบบมาตรฐานที่ไม่เป็นอันตราย
คลิกเดียวเพื่อการประนีประนอมอย่างสมบูรณ์
การคลิกเพียงครั้งเดียวสามารถมอบการควบคุมเมาส์และคีย์บอร์ดของเหยื่อได้อย่างสมบูรณ์ ผู้โจมตีจะปล่อยมัลแวร์ Infostealer หรือโทรจันการเข้าถึงระยะไกล (RAT) ออกมาอย่างรวดเร็ว ซึ่งจะค้นหาเซสชันเบราว์เซอร์ รหัสผ่านที่บันทึกไว้ วลีเมล็ดพันธุ์ของกระเป๋าเงินคริปโต และข้อมูลละเอียดอ่อนอื่นๆ ในเครื่อง บันทึกของหน่วยซีลระบุว่าเงินที่ขโมยมาได้ "หลายล้านดอลลาร์" มาจากกลวิธีเหล่านี้ โดยระบุว่าอาชญากรพึ่งพาเครือข่ายโปรไฟล์โซเชียลมีเดียปลอมและเว็บไซต์ที่ดูดีเพื่อเพิ่มความน่าเชื่อถือให้กับกลอุบายของพวกเขา
Trail of Bits เผชิญกับการโจมตีโดยตรง ซีอีโอของบริษัทได้รับข้อความจากโปรไฟล์ X (เดิมคือ Twitter) ที่อ้างว่าเป็นผู้ผลิตของ Bloomberg ซึ่งผลักดันอย่างหนักเพื่อสัมภาษณ์เกี่ยวกับสกุลเงินดิจิทัลผ่าน Zoom ในนาทีสุดท้าย เมื่อตรวจสอบอย่างใกล้ชิด พบว่าลิงก์การประชุมผ่าน Zoom นำไปสู่บัญชีระดับผู้บริโภค ไม่ใช่บัญชีขององค์กรที่ถูกต้องตามกฎหมาย ผู้โจมตีปฏิเสธที่จะสื่อสารผ่านอีเมลอย่างต่อเนื่อง โดยยืนกรานว่าจะใช้ Zoom เป็นที่ที่พวกเขาสามารถโจมตีได้
คุณสมบัติที่มีข้อบกพร่องกลายมาเป็นเวกเตอร์การโจมตี
รากฐานของการโจมตีคือฟีเจอร์ Remote Control ของ Zoom ซึ่งออกแบบมาเพื่อการทำงานร่วมกัน แต่จะถูกนำไปใช้ในทางที่ผิดได้หากผู้ใช้ไม่ระมัดระวัง แม้ว่าโฮสต์สามารถปิดใช้งานฟีเจอร์นี้ได้ในระดับบัญชี กลุ่ม หรือผู้ใช้ แต่ฟีเจอร์นี้มักจะถูกเปิดใช้งานตามค่าเริ่มต้นในการตั้งค่าขององค์กร กล่องโต้ตอบการอนุญาตไม่มีเครื่องหมายแยกความแตกต่างเพื่อระบุคำขอจากบุคคลที่สาม ทำให้ผู้ใช้ถูกหลอกได้ง่ายด้วยข้อความแจ้งเตือนที่ดูเป็นเรื่องปกติ
Trail of Bits เตือนว่าการโจมตีประเภทนี้มีประสิทธิผลเป็นพิเศษเนื่องจากอาศัยพฤติกรรมของมนุษย์ ไม่ใช่บั๊กของซอฟต์แวร์ ผู้เชี่ยวชาญหลายคนคุ้นเคยกับการอนุมัติการแจ้งเตือนของ Zoom อย่างรวดเร็ว และผู้โจมตีใช้ประโยชน์จากความคุ้นเคยนี้เพื่อหลีกเลี่ยงการป้องกันของผู้ใช้ที่มีประสบการณ์ บริษัทดึงข้อมูลโดยตรงจากแคมเปญนี้ไปยังเหตุการณ์ที่โด่งดังเมื่อเร็ว ๆ นี้ เช่น การแฮ็ก Bybit มูลค่า 1.5 พันล้านเหรียญสหรัฐ ซึ่งอาศัยการจัดการเวิร์กโฟลว์ที่ถูกต้องตามกฎหมายแทนที่จะใช้ช่องโหว่ของโค้ด
การปกป้องจากภัยคุกคามของดาวหางที่ยากจะเข้าถึง
นัยที่กว้างกว่านั้นน่าวิตกกังวล: ในขณะที่อุตสาหกรรมบล็อคเชนเติบโตเต็มที่ ผู้โจมตีก็เปลี่ยนโฟกัสจากการโจมตีทางเทคนิคไปเป็นช่องโหว่ของมนุษย์ ความปลอดภัยในการปฏิบัติงาน—การปกป้องกระบวนการและการตัดสินใจของผู้ใช้—มีความสำคัญพอๆ กับการป้องกันข้อบกพร่องของซอฟต์แวร์
Trail of Bits ตอบสนองด้วยการใช้มาตรการที่เข้มงวด โดยปิดการใช้งานความสามารถควบคุมระยะไกลของ Zoom และบล็อกสิทธิ์การเข้าถึงที่ทำให้การโจมตีดังกล่าวเกิดขึ้นได้ โดยไม่รบกวนการใช้งานวิดีโอคอนเฟอเรนซ์ตามปกติ Trail of Bits เรียกร้องให้องค์กรและบุคคลต่างๆ ในภาคส่วนคริปโตทำเช่นเดียวกัน โดยตรวจสอบการตั้งค่า Zoom และให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายของการยอมรับคำขอแชร์หน้าจอและควบคุมระยะไกลโดยไม่ไตร่ตรอง
ด้วยการสูญเสียผู้คนไปหลายล้านคนและผู้โจมตียังคงพัฒนาวิธีการของตนอย่างต่อเนื่อง ข้อความนี้จึงชัดเจน: อย่าใช้เครื่องมือการประชุมทางวิดีโอโดยคิดว่าไม่มีความเสี่ยง หากคุณซื้อขาย ลงทุน หรือทำงานในอุตสาหกรรมคริปโต ให้คิดให้ดีก่อนจะยอมรับคำขอประชุมที่ไม่คาดคิด และอย่าอนุมัติคำขอควบคุมระยะไกลโดยที่ไม่แน่ใจโดยสิ้นเชิงว่าคำขอดังกล่าวถูกต้องตามกฎหมายหรือไม่ ภัยคุกคามอาจดูเหมือนเป็นเรื่องปกติ แต่ผลลัพธ์ที่ได้นั้นไม่เคยสูงเท่านี้มาก่อน