Midt i COVID-19 Pandemic webkonferencer og foredrag for nogle er den primære metode til internetkommunikation for virksomheder og private parter. Og selvom ZOOM er et foretrukket valg for mange, det er blevet berygtet for at have alvorlige sikkerhedsproblemer. Heldigvis, dens udviklere er hurtige til at løse sårbarhederne.
På grund af det faktum, at et meget stort antal brugere bruger det, har der været mange underjordiske organisationer, der beskæftiger sig med stjålne ZOOM-legitimationsoplysninger. Alt dette fører til mange farlige scenarier, hvoraf mange bruges af kriminelle grupper. I denne artikel har vi til formål at vise, hvorfor ZOOM-problemerne, der blev opdaget, faktisk er et problem, der vedvarer i tide.
ZOOM-sårbarheder - hvad der skete, og hvorfor de er farlige?
ZOOM er en kraftfuld webkonferencetjeneste, der primært bruges af store virksomheder og forskellige grupper til at føre samtaler, præsentationer og gruppechats. Som en af de øverste software i sin kategori har mange af de sikkerhedsproblemer, der blev fundet gennem årene, en meget større indflydelse end en midlertidig fejl. Og selvom virksomheden var hurtig med at løse problemerne, ser det ud til, at dette har påvirket ofrene på en meget større måde, som de måske kunne forestille sig.
En af de vigtigste fejl, der påvirker softwaren, blev fundet tilbage i December 2018 og spores i CVE-2018-15.715 rådgivende. Dette var en svaghed i programmet, som gjorde det muligt for eksterne hackere at kapre onlinesessioner. Dette blev gjort ved at forfalske internettrafikken for at få kontrol over hele sessionerne.
Den frigivne proof-of-concept-kode viser, hvordan de kriminelle kan overtage kontrollen med konferencerne ved hjælp af flere forskellige scenarier — nogle af dem inkluderer spionering af brugere, aflytningssessioner og også sessioner, som hackerne ikke er en del af møderne.
Omkring det tidspunkt, hvor oprindelige så betydelige sikkerhedsfejl oprindeligt blev opdaget, kom de såkaldte “Zoom Bonbing” fænomen. Dette er en teknik, der bruges af ondsindede skuespillere, der bruges til at trænge ind i en aktiv ZOOM-konference. Hensigten kan være at sende SPAM-indhold, afbryde møder eller aflede opmærksomheden på et andet emne. Sådan “razziaer” organiseres effektivt på forskellige sociale netværk og samfund inklusive Reddit, 4chan, Facebook, Twitter, Uenighed og andre. Dette viser, at mange hackere, spasmagere, spammere og relaterede brugertyper har vendt deres opmærksomhed mod at bruge ZOOM som en platform for kriminel aktivitet.
I april i år en sikkerhedsekspert lagt ud på Twitter at Windows-versionen af ZOOM-applikationen er sårbar over for en sårbarhed, der er kategoriseret som en type “UNC-vejinjektion”. Dette er en sikkerhedsfejl, der giver computerkriminelle mulighed for at kapre legitimationsoplysninger som en del af angrebet, i dette tilfælde er dette operativsystemets login-adgangskode for den aktuelle bruger.
Denne type bug kan bruges til at udføre applikationer, der allerede findes på systemerne eller til at starte kommandoer på dem. Dette kan bruges i forskellige scenarier, såsom følgende:
- Malware Infektioner — Gennem kørsel af specifikke kommandoer ved at bruge sårbarhederne kan hackerne implantere forskellige typer malware på computere. Dette inkluderer ransomware, Trojan, cryptocurrency minearbejdere og etc.
- System Ændringer — Fjernkommandoerne kan også redigere nøgleindstillinger på operativsystemet eller installeret software, der fører til ydelsesproblemer og endda sabotage.
- Filstyveri og trojanske operationer — Avancerede malware-kampagner kan bruges til at stjæle filer eller til at installere trojanske hesteklienter, der bruges til at overtage kontrollen over maskinerne.
Hvad sker der med de kaprede ZOOM-konti
Et af hovedformålene med alle malware-kampagner, der er initieret mod ZOOM-brugere, er at stjæle brugeroplysninger: ikke kun på softwaren, men også af andre tjenester, muligvis at udvide dette til banktjenester, e-mail-beskeder og andre. De kriminelle grupper kan ty til salg af de kaprede oplysninger om underjordiske samfund. De mest passende steder er Dark Web-markedspladser, der bruges til at handle med piratsoftware, narkotika og stjålne data blandt andre varer. Når det drejer sig om stjålne konti, kan dette have en meget større indvirkning - ofte vil kriminelle mærke, hvis offerbrugerne kommer fra et firma, regeringsagentur eller andre højprofilerede mål.
Nogle af de almindelige anvendelser af stjålne ZOOM-konti inkluderer følgende:
- konto Tyveri — Når ZOOM-konferencerne afholdes af medarbejdere eller regeringsansatte, deles i mange tilfælde konti til andre tjenester. Når sessionerne bliver undersøgt, kan sådanne oplysninger blive tilgængelige.
- Følsomme datatyveri — Kriminelle kan kapre alle data, der kan betragtes som indbringende for kriminelle.
- Identitetstyveri — Oplysninger kapret om brugerne kan bruges i forskellige identitetsrelaterede forbrydelser og relateret økonomisk misbrug.
ZOOM-hacks, der er blevet organiseret gennem årene har resulteret i vellykket tyveri af information fra institutioner og virksomheder som f.eks: University of Colorado, Dartmouth, Lafayette, Jage, Citibank og andre. Kaprede konti fra dem og andre offerfirmaer er efterfølgende blevet placeret i store sælgerordrer. Et firma har købt ca. 530,00 af individuelle konti fra ofrene for prisen på $0.002 hver. Under analysen ser det ud til, at nogle af indtrængen blev foretaget som en del af ældre angreb.
Når det gælder brug af onlinetjenester implementerer nogle af de proaktive sikkerhedsstrategier nu brugen af offentlige databasebrydelsesmeddelelser, såsom de populære Er jeg blevet pwned. Brugere af ZOOM-kontoer bør også nøje overvåge sikkerhedsnyhedswebsteder for at holde sig opmærksom, hvis der opdages problemer. Vi anbefaler altid, at der bruges et professionelt anti-malware-værktøj.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: