Microsoft Teams jako nový vektor pro kybernetické útoky

Phishingové útoky využívající e-maily jsou úspěšnější než kdy dříve. Kybernetičtí útočníci však zvyšují své úsilí zaměřené na zaměstnance používající další platformy, jako jsou Microsoft Teams a Slack.

Jednou z „výhod“ je, že v těchto aplikacích většina zaměstnanců stále předpokládá, že při přijetí zprávy skutečně hovoří se svým šéfem nebo spolupracovníkem.

„Děsivé je, že těmto programům bezmezně důvěřujeme – na rozdíl od našich e-mailových schránek, kde jsme se naučili být podezřívaví ke zprávám, u nichž nepoznáme adresu odesílatele,“ řekl Armen Najarian, ředitel pro identitu v technologické společnosti Outseer zabývající se bojem proti podvodům.

Pozoruhodné je, že tradiční phishing nezaznamenal žádné zpomalení: Podle společnosti Proofpoint zažilo v roce 2021 úspěšný phishingový útok založený na e-mailu 83 % organizací, což je obrovský skok oproti 57 % v roce 2020. A mimo e-mailové útoky vzrostly v roce 2021 podle dodavatele zabezpečení e-mailů také útoky prostřednictvím SMS (smishing) a hlasové útoky (vishing).

Zdá se však, že útočníci nyní považují široce využívané platformy pro spolupráci, jako jsou Microsoft Teams a Slack, za další rostoucí příležitost k cílení na pracovníky – tedy alespoň to tvrdí bezpečnostní výzkumníci a vedoucí pracovníci. Pro některé aktéry hrozeb je to také příležitost, jak lstí využít další možnosti aplikací pro spolupráci.

Sofistikované útoky na Teams

Patrick Harr, generální ředitel společnosti SlashNext, která se zabývá ochranou proti phishingu, sdělil serveru VentureBeat, že nedávno došlo k vysoce sofistikovanému phishingovému útoku na zákazníka v aplikaci Microsoft Teams.

Podle Harra k němu došlo, když generální ředitel zákaznické společnosti cestoval do Číny. Útočník, který se vydával za generálního ředitele, zaslal několika zaměstnancům společnosti zprávu ve službě WhatsApp a požádal je, aby se připojili ke schůzce v aplikaci Teams.

Jakmile se zaměstnanci na schůzce ocitli, spatřili videozáznam generálního ředitele, o kterém si neuvědomili, že byl pořízen z minulého televizního rozhovoru. Útočníci do videa přidali falešné pozadí, aby to vypadalo, že generální ředitel je v Číně, uvedl Harr. Protože však nebyl k dispozici žádný zvuk, „generální ředitel“ řekl, že „musí být špatné spojení“ – a pak do chatu nasdílel odkaz na SharePoint. Útočník, který se vydával za generálního ředitele, vyzval zaměstnance, aby mu poslali informace z odkazu, který se mu údajně nedaří otevřit. Jeden ze zaměstnanců nakonec skutečně na škodlivý odkaz SharePoint kliknul – přístup na stránku mu však byl zablokován.

V konečném důsledku tento incident ukazuje, že „tito aktéři hrozeb uhnízdili v legitimních službách,“ řekl Harr. „Jsou velmi kreativní. Zůstávají v předstihu.“

Velký cíl

Služba Microsoft Teams je v podnicích masivně rozšířená, měsíčně ji využívá 270 milionů aktivních uživatelů, a to už je pro útočníky pořádné lákadlo.

Aktéři hrozeb si na Teams všimli i několika dalších věcí: Pokud se vám podaří získat heslo k účtu Microsoft Office 365, můžete se potenciálně dostat i do Teamsů. A i když je v tuto chvíli možná více pracovníků obeznámeno s technikami e-mailového phishingu, podle výzkumníků je méně pravděpodobné, že by byli podezřívaví vůči zprávě z Teamsů.

Útočníci se této příležitosti chytají: V lednu zaznamenala platforma pro zabezpečení e-mailů Avanan tisíce útoků zahrnujících malware umístěných do konverzací v Teamsech, uvedli výzkumníci organizace vlastněné společností Check Point.

Připojením škodlivého spustitelného souboru do konverzace Microsoft Teams „hackeři našli nový způsob, jak snadno zaútočit na miliony uživatelů“, napsali výzkumníci společnosti Avanan v příspěvku na blogu. 

Útoky mají úspěch, protože u Microsoft Teams, na rozdíl od e-mailu, „mají koncoví uživatelé k platformě přirozenou důvěru“, napsali výzkumníci.

V konečném důsledku incidenty nahlášené společností Avanan ukazují, že „hackeři začínají chápat a lépe využívat Teams jako potenciální vektor útoku,“ uvedli výzkumníci.

BEC v novém prostědí

S odkazem na útoky na Microsoft Teams, které uvádí společnost Avanan, „jde o nové kompromitování firemních e-mailů / zneužití legitimních služeb,“ uvedl na Twitteru Sean Gallagher, senior výzkumník hrozeb ve společnosti Sophos Labs. „Navazuje na trend, který jsme zaznamenali u služeb Slack a Discord.“

Business e-mail compromise (BEC) popisuje typ phishingového útoku, při kterém se útočník zaměřuje na určitou osobu ve firmě a snaží se ji přesvědčit, aby provedla převod finančních prostředků na jeho účet. Podle údajů společnosti Proofpoint totiž v loňském roce čelilo útokům na firemní e-maily 77 % organizací, zatímco v roce 2020 to bylo 65 %.

S příchodem útoků podobných BEC na platformy pro spolupráci, jako je Microsoft Teams, však „aktéři hrozeb rozšiřují svůj útočný prostor a nacházejí nové způsoby, jak se prosadit v organizacích,“ řekl Gallagher.

„Vzhledem k tomu, že stále více podniků přechází na cloud a modely software jako služba [SaaS], budou legitimní hostované služby – jako Microsoft Teams a Slack – pro útočníky atraktivní cestou,“ řekl Gallagher.

Kombinace taktik

Typy útoků na Microsoft Teams, o kterých informovaly společnosti SlashNext a Avanan, zahrnují kombinaci sociálního inženýrství a získávání pověření.

„Pokud si aktéři hrozebzajistí pověření a mohou získat přístup k prostředí Microsoft 365 v cloudu, mohou vystupovat jako důvěryhodný člen týmu,“ uvedl Gallagher. „Oběti tak předpokládají, že soubory a odkazy sdílené v legitimní službě jsou důvěryhodné, protože po nahrání nebo sdílení v důvěryhodném prostředí nevykazují varovné znaky škodlivé adresy URL.“

Protivníci se tak mohou dostat na nejrůznější místa v podniku, kam by se jinak bez kompromitace sítě nedostali.

Celkově vzato je podle něj zneužití legitimních služeb novým vektorem, kterým se útočníci zaměřují na podnik – a bude se jen rozšiřovat, „jak se podnik bude více odpoutávat od tradiční infrastruktury.

Zdroj: VentureBeat