כך מנצלים האקרים את זום ו־Teams לפריצה סמויה לשיחות עבודה

Experis Cyber עדכנה את לקוחותיה אודות שיטת תקיפה חדשה בשם Ghost" Calls" ("שיחות רפאים") המאפשרת לתוקפים לעקוף מערכות הגנה דרך שיחות וידאו של Zoom ו-Microsoft Teams.

לפי הדו"ח,, האקרים יכולים לנצל את הדרך שבה פועלות תוכנות שיחות וידאו כמו Zoom ו־Microsoft Teams כדי להסתתר בתוך שיחות עבודה (או אישיות) לגיטימיות. כלומר, הם לא צריכים לפרוץ ישירות למערכת, אלא משתמשים בפרוטוקולים וכלים רגילים כדי להצטרף לפגישות בצורה בלתי נראית, להעביר מידע ולשלוט מרחוק במחשבים שנפרצו - וכל זה מבלי שחומות אש או מערכות אבטחה יזהו אותם.

הנזק הפוטנציאלי חמור: התוקפים יכולים לגנוב קבצים ומסמכים, לחדור לרשת הפנימית של הארגון, לשבש מערכות, ואף להשתמש בגישה הזו כדי להרחיב את ההתקפה לעובדים נוספים או למערכות קריטיות. מכיוון שהתעבורה נראית לגיטימית, ההתקפה עלולה להימשך זמן רב בלי להתגלות - מה שמגדיל את היקף הפגיעה.

רומן מלכוב, מנהל ה-SOC ב-Experis Cyber: "החולשה האמיתית כאן היא לא בטכנולוגיה של Zoom או Teams, אלא בתחושת הביטחון המוטעית שלנו. העובדה שהתוקפים מצליחים להיטמע בתעבורה לגיטימית ולחמוק מכלי ההגנה המתקדמים ביותר צריכה להדליק נורה אדומה לכל ארגון. זה איום שיכול להתפתח מתחת לרדאר במשך שבועות ואף חודשים, ולהסתיים באובדן מידע קריטי, פגיעה במוניטין ובשיתוק מערכות עסקיות".

מומחי Experis Cyber מסבירים כי במסגרת שיטה זו התוקפים מנצלים למעשה את שרתי ה "TURN" של אפליקציות שיחות הווידאו כדי להסתיר תעבורת תקשורת זדונית בתוך תעבורה לגיטימית של שיחות עבודה. כך במקום להשתמש בפרצות אבטחה, התוקפים משתמשים בפרוטוקולים לגיטימיים כמו WebRTC וכלים מותאמים אישית, כדי להפעיל שליטה מרחוק על מחשבים שנפרצו.

התוקפים מצטרפים באופן "בלתי נראה" לפגישות וירטואליות ומשתמשים בפרטי חיבור זמניים שמקבלים זום אוTeams כדי ליצור ערוץ תקשורת מוסתר בין התוקף לקורבן. בזכות שימוש בדומיינים וכתובותIP לגיטימיים של החברות, תעבורת התקיפה מצליחה לעבור דרך חומות אש, פרוקסים ובדיקות TLS מבלי להיתפס. WebRTC עושה שימוש בהצפנה חזקה שמסתירה את תוכן התקשורת, מה שמקשה משמעותית על זיהוי וניטור של פעילות זדונית בתוך הערוץ.

הכלי שפיתח החוקר נקרא TURNt והוא זמין בקוד פתוח בגיטהאב - הוא מאפשר לתוקפים להעביר מידע, להפעיל חיבורים מרוחקים ואפילו לשלוח תעבורת VNC מוסתרת. הכלי מפעיל פרוקסי מסוגSOCKS שמאפשר גישה ישירה לתוך הרשת הפנימית של הקורבן מבלי שיזהו פעילות חריגה.

החוקרים ציינו שהשיטה לא מנצלת חולשה בזום או Teams אלא מנצלת את הדרך שבה הן מתוכננות לעבוד - וזה מה שהופך אותה לקשה לאיתור. התוקפים משתמשים ביכולת של TURN להעביר תעבורה גם כשהמחשב מנותק מהרשת החיצונית - מה שמאפשר להם שליטה עקיפה בלי חשד.

השימוש בשרתים גלובליים של TURN (במיוחד בארגונים עם פריסה עולמית) מאפשר לתוקף לבחור את הנתיב האופטימלי להעברת תקשורת בזמן אמת. למרות שאין כאן ניצול של פרצה בפלטפורמות עצמן, החוקרים הדגישו את הסיכון שיכול לנבוע משימוש בתשתיות לגיטימיות לצורכי תקיפה.

מומחי Experis Cyber ממליצים לוודא שחשבון ה- Zoomאו Teams בהם נעשה שימוש מוגדר לעבוד עם הצפנה מלאה (ולא רקTLS transport), כולל הגבלת משתמשים חיצוניים עם יכולת להתחבר לפגישות.