בדו"ח שהוציאה השבוע אקספריס סייבר (Experis Cyber) ללקוחותיה היא עדכנה אותם אודות שיטת תקיפה חדשה בשם "שיחות רפאים" (Ghost Calls) המאפשרת לתוקפים לעקוף מערכות הגנה דרך שיחות וידאו של Zoom ו-Microsoft Teams. לפי הדו"ח, האקרים יכולים לנצל את הדרך שבה פועלות תוכנות כאלו כדי להסתתר בתוך שיחות עבודה, או שיחות אישיות, לגיטימיות. כלומר, הם לא צריכים לפרוץ ישירות למערכת, אלא משתמשים בפרוטוקולים וכלים רגילים כדי להצטרף לפגישות בצורה בלתי נראית, להעביר מידע ולשלוט מרחוק במחשבים שנפרצו – וכל זה מבלי שחומות אש או מערכות אבטחה יזהו אותם.
הנזק הפוטנציאלי חמור: התוקפים יכולים לגנוב קבצים ומסמכים, לחדור לרשת הפנימית של הארגון, לשבש מערכות, ואף להשתמש בגישה הזו כדי להרחיב את ההתקפה לעובדים נוספים או למערכות קריטיות. מכיוון שהתעבורה נראית לגיטימית, ההתקפה עלולה להימשך זמן רב בלי להתגלות – מה שמגדיל את היקף הפגיעה. התוקפים משתמשים בפרטי חיבור זמניים שנוצרים בזמן ועידת וידאו כדי ליצור ערוץ תקשורת מוסתר בין התוקף לקורבן. בזכות שימוש בשמותמתחם וכתובות IP לגיטימיים של החברות, תעבורת התקיפה מצליחה לעבור דרך חומות אש, פרוקסים ובדיקות TLS מבלי להיתפס. WebRTC עושה שימוש בהצפנה חזקה שמסתירה את תוכן התקשורת, מה שמקשה משמעותית על זיהוי וניטור של פעילות זדונית בתוך הערוץ.
רומן מלכוב, מנהל ה-SOC של Experis Cyber: "החולשה האמיתית כאן היא לא בטכנולוגיה של Zoom או Teams, אלא בתחושת הביטחון המוטעית שלנו. העובדה שהתוקפים מצליחים להיטמע בתעבורה לגיטימית ולחמוק מכלי ההגנה המתקדמים ביותר צריכה להדליק נורה אדומה לכל ארגון. זה איום שיכול להתפתח מתחת לרדאר במשך שבועות ואף חודשים, ולהסתיים באובדן מידע קריטי, פגיעה במוניטין ובשיתוק מערכות עסקיות".
כלי חדש, שנקרא TURN, זמין בקוד פתוח בגיטהאב (GitHub) – הוא מאפשר לתוקפים להעביר מידע, להפעיל חיבורים מרוחקים ואפילו לשלוח תעבורת VNC מוסתרת. הכלי מפעיל פרוקסי מסוג SOCKS שמאפשר גישה ישירה לתוך הרשת הפנימית של הקורבן מבלי שיזהו פעילות חריגה. התוקפים משתמשים ביכולת של TURN להעביר תעבורה גם כשהמחשב מנותק מהרשת החיצונית – מה שמאפשר להם שליטה עקיפה בלי חשד. השימוש בשרתים גלובליים של TURN' במיוחד בארגונים עם פריסה עולמית' מאפשר לתוקף לבחור את הנתיב המיטבי להעברת תקשורת בזמן אמת. למרות שאין כאן ניצול של פרצה בפלטפורמות עצמן, החוקרים הדגישו את הסיכון שיכול לנבוע משימוש בתשתיות לגיטימיות לצורכי תקיפה.
מומחי אקספריס סייבר מסבירים כי במסגרת שיטה זו התוקפים מנצלים למעשה את שרתי ה-TURN של אפליקציות שיחות הווידאו כדי להסתיר תעבורת תקשורת זדונית בתוך תעבורה לגיטימית של שיחות עבודה. כך במקום להשתמש בפרצות אבטחה, התוקפים משתמשים בפרוטוקולים לגיטימיים כמו WebRTC וכלים מותאמים אישית, כדי להפעיל שליטה מרחוק על מחשבים שנפרצו. הם ממליצים לוודא שחשבון ה-Zoom או Teams בהם נעשה שימוש מוגדר לעבוד עם הצפנה מלאה (ולא רקTLS transport), כולל הגבלת משתמשים חיצוניים עם יכולת להתחבר לפגישות.