Kuzey Koreli Hackerlar Zoom Özelliğini Kullanarak Milyonlarca Dolarlık Kripto Para Çaldı
Yeni ve rahatsız edici bir siber suç kampanyası, kripto para birimi tüccarlarını ve yatırımcılarını hedef alıyor ve saldırı vektörü olarak tanıdık video konferans platformu Zoom'u kullanıyor. Kâr amacı gütmeyen Güvenlik İttifakı (SEAL) ve siber güvenlik firması Trail of Bits'in raporları, kripto sektörüne yönelik amansız saldırılarıyla bilinen Kuzey Koreli bilgisayar korsanları tarafından düzenlenen kurnazca bir operasyonu ifşa etti. "Elusive Comet" olarak adlandırılan bu kampanya, sosyal mühendislik tehditlerinin ne kadar karmaşık hale geldiğini ve günlük iş araçlarının yanlış ellerde nasıl silaha dönüşebileceğini ortaya koyuyor.
İçindekiler
İş Fırsatları Kılığında Sahtekarlık Yemi
Saldırganların yaklaşımı hem ikna edici hem de incelikli. Girişim sermayedarlarını veya podcast sunucularını taklit eden bu bilgisayar korsanları, önce meşru bir iş teklifi gibi görünen bir şeyle iletişime geçiyor. Mağdurlarla genellikle Calendly bağlantıları aracılığıyla iletişime geçiliyor ve sözde bir yatırım veya podcast görünümü hakkında görüşmek üzere bir Zoom toplantısı planlamaları isteniyor. İlk iletişim, bir tehditten ziyade bir fırsat olarak görünecek şekilde tasarlanıyor, hedefin savunmasını düşürüyor ve toplantı ayrıntılarını son dakikaya erteleyerek bir aciliyet duygusu yaratıyor.
Kurban planlanan Zoom görüşmesine katıldığında, saldırganlar harekete geçer. Kurbandan ekranını paylaşmasını isterler; bu, iş görüşmelerinde sıradan bir istektir. Ancak daha sonra, Zoom'un Uzaktan Kontrol özelliğini kullanarak, bilgisayar korsanları kurbanın bilgisayarının kontrolünü ister. Aldatıcı bir değişiklik bu isteği daha da tehlikeli hale getirir: Saldırganlar Zoom görüntü adını "Zoom" olarak değiştirir, böylece izin iletişim kutusunu standart, zararsız bir sistem bildirimi gibi gösterir.
Tek Tıkla Tam Uzlaşma
Bu tek tıklama, kurbanın faresi ve klavyesinin tam kontrolünü ele geçirebilir. Saldırganlar, tarayıcı oturumları, kaydedilmiş parolalar, kripto cüzdanı tohum ifadeleri ve diğer hassas bilgiler için makineyi arayan bilgi hırsızı kötü amaçlı yazılımları veya uzaktan erişim trojanlarını (RAT'ler) hızla dağıtır. SEAL'in günlükleri, bu taktiklere "milyonlarca dolar" çalınmış fon atfeder ve suçluların hilelerine güvenilirlik kazandırmak için sahte sosyal medya profilleri ve cilalı web sitelerinden oluşan bir ağa güvendiklerini belirtir.
Trail of Bits saldırıya ilk elden tanık oldu. Şirketin CEO'su, Bloomberg yapımcısı olduklarını iddia eden X (eski adıyla Twitter) profillerinden kripto para birimi hakkında son dakika Zoom röportajı için yoğun çaba sarf eden mesajlar aldı. Daha yakından incelendiğinde, Zoom toplantı bağlantıları meşru kurumsal hesaplara değil, tüketici sınıfı hesaplara yönlendiriyordu. Saldırganlar, istismarlarını başlatabilecekleri Zoom'da ısrar ederek e-posta üzerinden iletişim kurmayı sürekli olarak reddettiler.
Kusurlu Bir Özellik Saldırı Vektörüne Dönüştü
Saldırının kökü, ortak çalışma için tasarlanmış ancak kullanıcılar dikkatli olmazsa kötüye kullanılabilen Zoom'un Uzaktan Kontrol özelliğidir. Ev sahipleri bu işlevi hesap, grup veya kullanıcı düzeyinde devre dışı bırakabilse de, genellikle şirket ayarlarında varsayılan olarak açık bırakılır. İzin iletişim kutusunda, üçüncü taraf isteğini belirten herhangi bir ayırt edici işaret yoktur ve bu da kullanıcıların rutin görünen bir istemle kandırılmasını kolaylaştırır.
Trail of Bits, bu tür saldırıların yazılım hatalarına değil, insan davranışına dayandığı için özellikle etkili olduğunu söylüyor. Birçok profesyonel Zoom bildirimlerini hızla onaylamaya alışkındır ve saldırganlar bu aşinalığı, deneyimli kullanıcıların savunmalarını bile aşmak için kullanırlar. Şirket, bu kampanyadan, kod açıklarından yararlanmak yerine meşru iş akışlarını manipüle etmeye dayanan 1,5 milyar dolarlık Bybit saldırısı gibi son zamanlardaki yüksek profilli olaylara doğrudan bir bağlantı çiziyor.
Yakalanması Zor Kuyrukluyıldız Tehditine Karşı Korunma
Daha geniş kapsamlı çıkarım rahatsız edicidir: Blockchain endüstrisi olgunlaştıkça, saldırganlar teknik istismarlardan insan zaaflarına odaklanmaktadır. Kullanıcıların süreçlerini ve kararlarını koruyan operasyonel güvenlik, yazılım kusurlarına karşı savunma yapmak kadar önemli hale gelmiştir.
Buna karşılık Trail of Bits, normal video konferans kullanımını etkilemeden Zoom'un uzaktan kontrol yeteneğini devre dışı bırakarak ve bu tür saldırıları mümkün kılan erişilebilirlik izinlerini engelleyerek güçlü önlemler aldı. Kripto sektöründeki kuruluşları ve bireyleri de aynısını yapmaya, Zoom ayarlarını gözden geçirmeye ve kullanıcıları ekran paylaşımı ve uzaktan kontrol isteklerini körü körüne kabul etmenin tehlikeleri konusunda eğitmeye çağırıyorlar.
Milyonlarca insan kaybedilmişken ve saldırganlar yöntemlerini geliştirmeye devam ederken, mesaj açıktır: video konferans araçlarını asla risksiz olarak görmeyin. Kripto sektöründe işlem yapıyor, yatırım yapıyor veya çalışıyorsanız, beklenmedik toplantı isteklerini kabul etmeden önce iki kere düşünün ve meşruiyetinden kesin olarak emin olmadan uzaktan kumanda istemini asla onaylamayın. Tehdit her zamanki gibi görünebilir, ancak riskler hiç bu kadar yüksek olmamıştı.