Te midden van de COVID-19 Pandemische webconferenties en lezingen voor sommigen zijn de belangrijkste methode van internetcommunicatie voor bedrijven en particuliere partijen. En terwijl ZOOM voor velen de voorkeur heeft, het is berucht geworden omdat het ernstige beveiligingsproblemen heeft. Gelukkig, de ontwikkelaars pakken de kwetsbaarheden snel aan.
Omdat een zeer groot aantal gebruikers het gebruikt, zijn er veel ondergrondse organisaties geweest die zich bezighouden met gestolen ZOOM-inloggegevens. Dit alles leidt tot veel gevaarlijke scenario's, veel daarvan worden gebruikt door criminele groepen. In dit artikel willen we laten zien waarom de ontdekte ZOOM-problemen eigenlijk een probleem zijn dat in de tijd blijft bestaan.
De ZOOM-kwetsbaarheden - wat er is gebeurd en waarom ze gevaarlijk zijn?
ZOOM is een krachtige webconferentieservice die voornamelijk wordt gebruikt door grote bedrijven en verschillende groepen om gesprekken te voeren, presentaties en groepschats. Als een van de beste software in zijn categorie hebben veel van de beveiligingsproblemen die in de loop der jaren zijn gevonden een veel grotere impact dan een tijdelijke bug. En hoewel het bedrijf de problemen snel oploste, lijkt het erop dat dit de slachtoffers op een veel grotere manier heeft getroffen dan ze zich zouden kunnen voorstellen.
Een van de belangrijkste bugs die van invloed zijn op de software werd opnieuw gedetecteerd December 2018 en bijgehouden in de CVE-2018-15.715 adviserend. Dit was een zwak punt in het programma waardoor hackers op afstand online sessies konden kapen. Dit werd gedaan door het internetverkeer te vervalsen om de controle over de hele sessies te krijgen.
De vrijgegeven proof-of-concept-code laat zien hoe de criminelen de controle over de conferenties kunnen overnemen met behulp van verschillende scenario's — sommigen van hen omvatten het bespioneren van gebruikers, onderscheppingssessies en ook sessies waarvan de hackers geen deel uitmaken van de bijeenkomsten.
Rond de tijd dat dergelijke krachtige beveiligingsbugs aanvankelijk werden ontdekt, kwamen de zogenaamde 'Zoom bonberen' fenomeen. Dit is een techniek die door kwaadwillende actoren wordt gebruikt om in te dringen in een actieve ZOOM-conferentie. De bedoeling kan zijn om SPAM-inhoud te plaatsen, vergaderingen verstoren of de aandacht afleiden van een ander onderwerp. Zodanig “invallen” worden effectief georganiseerd op verschillende sociale netwerken en gemeenschappen, waaronder Reddit, 4chan, Facebook, Tjilpen, Discord en anderen. Dit laat zien dat veel hackers, grappenmakers, spammers en verwante soorten gebruikers hebben hun aandacht verlegd naar het gebruik van ZOOM als platform voor criminele activiteiten.
In april van dit jaar een beveiligingsexpert gepost op Twitter dat de Windows-versie van de ZOOM-applicatie kwetsbaar is voor een kwetsbaarheid die is gecategoriseerd als een type “UNC-padinjectie”. Dit is een beveiligingsfout waardoor computercriminelen inloggegevens kunnen kapen als onderdeel van de aanval, in dit geval is dit het loginwachtwoord van het besturingssysteem voor de huidige gebruiker.
Dit soort bug kan worden gebruikt om applicaties uit te voeren die al op de systemen aanwezig zijn of om commando's op te starten. Dit kan worden gebruikt in verschillende scenario's, zoals de volgende:
- malware-infecties — Door het uitvoeren van specifieke commando's door gebruik te maken van de kwetsbaarheden kunnen de hackers verschillende soorten malware op de computers implanteren. Dit geldt ook voor ransomware, Trojaans, cryptogeld mijnwerkers en etc.
- System Wijzigingen — De externe opdrachten kunnen ook de belangrijkste instellingen van het besturingssysteem of geïnstalleerde software bewerken, wat leidt tot prestatieproblemen en zelfs sabotage.
- Diefstal van bestanden en Trojaanse operaties — Geavanceerde malwarecampagnes kunnen worden gebruikt om bestanden te stelen of om Trojaanse paarden-clients te installeren die worden gebruikt om de controle over de machines over te nemen.
Wat gebeurt er met de gekaapte ZOOM-accounts
Een van de belangrijkste doelen van alle malwarecampagnes tegen ZOOM-gebruikers is het stelen van gebruikersgegevens: niet alleen op de software, maar ook van andere diensten, eventueel uitbreiden naar bankdiensten, e-mailberichten en anderen. De criminele groepen kunnen hun toevlucht nemen tot de verkoop van de gekaapte informatie over ondergrondse gemeenschappen. De meest geschikte plaatsen zijn de Dark Web-marktplaatsen die worden gebruikt om piratensoftware te verhandelen, drugs en gestolen data oa goederen. Als het om gestolen accounts gaat, kan dit een veel grotere impact hebben - vaak zullen criminelen aangeven of de slachtoffergebruikers afkomstig zijn van een bedrijf, overheidsinstantie of een ander spraakmakend doelwit.
Enkele veelvoorkomende toepassingen van gestolen ZOOM-accounts zijn de volgende:
- account Diefstal — Wanneer de ZOOM-conferenties worden gehouden door bedrijfs- of overheidsmedewerkers, worden in veel gevallen accounts gedeeld met andere diensten. Wanneer de sessies worden bespioneerd, kan dergelijke informatie beschikbaar komen.
- Gevoelige gegevens Diefstal — De criminelen kunnen alle gegevens kapen die door de criminelen als lucratief kunnen worden beschouwd.
- Identiteitsdiefstal — De gekaapte informatie over de gebruikers kan worden gebruikt bij verschillende identiteitsgerelateerde misdrijven en gerelateerd financieel misbruik.
De ZOOM-hacks die door de jaren heen zijn georganiseerd, hebben geresulteerd in de succesvolle diefstal van informatie van instellingen en bedrijven zoals: Universiteit van Colorado, Dartmouth, Lafayette, Jacht, Citibank en anderen. Gekaapte accounts van hen en andere slachtofferbedrijven zijn vervolgens in grote verkopersorders geplaatst. Een bedrijf heeft ongeveer gekocht 530,00 van individuele rekeningen van de slachtoffers voor de prijs van $0.002 elk. Tijdens de analyse blijkt dat sommige inbraken zijn gemaakt als onderdeel van oudere aanvallen.
Als het gaat om het gebruik van online services, implementeren sommige van de proactieve beveiligingsstrategieën nu het gebruik van meldingen van inbreuken op de openbare database, zoals de populaire Ben ik Pwned. Gebruikers van ZOOM-accounts moeten ook zorgvuldig de nieuwssites van beveiliging volgen om alert te blijven als er problemen worden ontdekt. We raden altijd aan om een professioneel anti-malware hulpprogramma te gebruiken.