Sinasamantala ng mga Hacker ng North Korea ang Zoom Feature para Magnakaw ng Milyun-milyon sa Cryptocurrency
Ang isang bago at nakakagambalang kampanya sa cybercrime ay nagta-target sa mga mangangalakal at mamumuhunan ng cryptocurrency, gamit ang pamilyar na platform ng video conferencing na Zoom bilang isang vector ng pag-atake. Ang mga ulat mula sa nonprofit na Security Alliance (SEAL) at cybersecurity firm na Trail of Bits ay naglantad ng isang mapanlinlang na operasyon na inayos ng mga hacker ng North Korea, na kilala sa kanilang walang tigil na pag-atake sa sektor ng crypto. Ang kampanyang ito, na tinawag na "Mahirap na Kometa," ay nagpapakita kung gaano naging sopistikado ang mga banta sa social engineering—at kung paano maaaring maging mga sandata sa mga maling kamay ang mga pang-araw-araw na tool sa negosyo.
Talaan ng mga Nilalaman
Phishing Bait Nagpapanggap bilang Mga Oportunidad sa Negosyo
Ang diskarte ng mga umaatake ay parehong nakakumbinsi at banayad. Nagpapanggap na mga venture capitalist o podcast host, ang mga hacker na ito ay unang nakipag-ugnayan sa kung ano ang tila isang lehitimong panukala sa negosyo. Ang mga biktima ay madalas na nakikipag-ugnayan sa pamamagitan ng mga link ng Calendly, na nag-iimbita sa kanila na mag-iskedyul ng isang Zoom meeting upang talakayin ang isang dapat na pamumuhunan o hitsura sa podcast. Ang paunang komunikasyon ay idinisenyo upang lumitaw bilang isang pagkakataon sa halip na isang pagbabanta, pagpapababa ng mga depensa ng target at pagbuo ng isang pakiramdam ng pagkaapurahan sa pamamagitan ng pagkaantala sa mga detalye ng pulong hanggang sa huling minuto.
Kapag ang biktima ay sumali sa naka-iskedyul na Zoom call, ang mga umaatake ay gagawa ng kanilang hakbang. Hinihiling nila na ibahagi ng biktima ang kanilang screen—isang ordinaryong pagtatanong sa mga talakayan sa negosyo. Ngunit pagkatapos, sa paggamit ng tampok na Remote Control ng Zoom, ang mga hacker ay humihingi ng kontrol sa computer ng biktima. Ang isang mapanlinlang na twist ay ginagawang mas mapanganib ang kahilingang ito: pinalitan ng mga umaatake ang kanilang Zoom display name sa "Zoom," na itinago ang dialog ng pahintulot upang magmukhang isang karaniwan at hindi nakakapinsalang notification ng system.
Isang Click to Total Compromise
Ang isang pag-click na ito ay maaaring magbigay ng ganap na kontrol sa mouse at keyboard ng biktima. Mabilis na nag-deploy ang mga attacker ng infostealer malware o remote access trojans (RATs) na naghahanap sa machine para sa mga session ng browser, naka-save na password, crypto wallet seed phrase, at iba pang sensitibong impormasyon. Iniuugnay ng mga log ng SEAL ang "milyong dolyar" sa mga ninakaw na pondo sa mga taktikang ito, na binabanggit na ang mga kriminal ay umaasa sa isang network ng mga pekeng profile sa social media at pinakintab na mga website upang magbigay ng kredibilidad sa kanilang pandaraya.
Naranasan mismo ng Trail of Bits ang pag-atake. Nakatanggap ang CEO ng firm ng mga mensahe mula sa mga profile ng X (dating Twitter) na nagsasabing sila ay mga producer ng Bloomberg, na nagtutulak nang husto para sa isang huling minutong panayam sa Zoom tungkol sa cryptocurrency. Sa mas malapit na pagsisiyasat, ang mga link ng Zoom meeting ay humantong sa mga consumer-grade account, hindi sa mga lehitimong corporate. Ang mga umaatake ay patuloy na tumanggi na makipag-usap sa pamamagitan ng email, iginiit ang Zoom, kung saan maaari nilang ilunsad ang kanilang pagsasamantala.
Isang Maling Tampok na Naging Attack Vector
Ang ugat ng pag-atake ay ang tampok na Remote Control ng Zoom, na idinisenyo para sa pagtutulungang trabaho ngunit maaaring abusuhin kung ang mga gumagamit ay hindi mapagbantay. Bagama't maaaring hindi paganahin ng mga host ang function na ito sa antas ng account, grupo, o user, madalas itong iniiwan bilang default sa mga setting ng kumpanya. Ang dialog ng pahintulot ay walang anumang natatanging marka upang ipahiwatig ang isang kahilingan ng third-party, na ginagawang madali para sa mga user na malinlang ng isang prompt na mukhang karaniwan.
Nagbabala ang Trail of Bits na partikular na epektibo ang ganitong uri ng pag-atake dahil umaasa ito sa gawi ng tao, hindi sa mga bug sa software. Maraming mga propesyonal ang nakasanayan na sa mabilis na pag-apruba ng mga abiso sa Zoom, at sinasamantala ng mga umaatake ang pagiging pamilyar na ito upang i-bypass kahit ang mga karanasang panlaban ng mga user. Ang kumpanya ay gumuhit ng isang direktang linya mula sa kampanyang ito hanggang sa kamakailang mga high-profile na insidente, tulad ng $1.5 bilyong Bybit hack, na umaasa din sa pagmamanipula ng mga lehitimong daloy ng trabaho sa halip na pagsasamantala sa mga kahinaan sa code.
Pagprotekta Laban sa Mailap na Banta sa Kometa
Ang mas malawak na implikasyon ay nakakabahala: habang tumatanda ang industriya ng blockchain, inililipat ng mga umaatake ang kanilang pagtuon mula sa mga teknikal na pagsasamantala patungo sa mga kahinaan ng tao. Ang seguridad sa pagpapatakbo—pagprotekta sa mga proseso at desisyon ng mga user—ay naging kasinghalaga ng pagtatanggol laban sa mga bahid ng software.
Bilang tugon, ang Trail of Bits ay gumawa ng matitinding hakbang, hindi pinapagana ang remote control na kakayahan ng Zoom at hinaharangan ang mga pahintulot sa accessibility na ginagawang posible ang mga naturang pag-atake, nang hindi nakakasagabal sa normal na paggamit ng videoconferencing. Hinihimok nila ang mga organisasyon at indibidwal sa sektor ng crypto na gawin din ito, suriin ang kanilang mga setting ng Zoom at turuan ang mga user tungkol sa mga panganib ng bulag na pagtanggap ng mga kahilingan sa pagbabahagi ng screen at remote control.
Sa milyun-milyong nawala na at patuloy na pinipino ng mga umaatake ang kanilang mga pamamaraan, malinaw ang mensahe: huwag na huwag ituring ang mga tool sa video conferencing bilang walang panganib. Kung ikaw ay nangangalakal, namumuhunan, o nagtatrabaho sa industriya ng crypto, mag-isip nang dalawang beses bago tanggapin ang mga hindi inaasahang kahilingan sa pagpupulong—at hindi kailanman aaprubahan ang isang remote control prompt nang walang ganap na katiyakan ng pagiging lehitimo nito. Ang banta ay maaaring mukhang negosyo gaya ng dati, ngunit ang mga pusta ay hindi kailanman naging mas mataas.