Hacker tìm cách khai thác lỗ hổng bảo mật trong các cuộc họp zoom
Các nhà nghiên cứu từ Praetorian vừa công bố phát hiện về "Ghost Calls" - một kỹ thuật tấn công tinh vi cho phép kẻ xấu "cưỡi" trên hạ tầng của Zoom và Teams để thực hiện các hoạt động độc hại mà không bị phát hiện.
Trong bối cảnh làm việc từ xa trở thành xu hướng chủ đạo, các nền tảng họp trực tuyến như Zoom và Microsoft Teams đã trở thành công cụ không thể thiếu trong hoạt động kinh doanh. Tuy nhiên, chính sự phổ biến và độ tin cậy của những dịch vụ này lại đang bị các tin tặc khai thác theo một cách hoàn toàn bất ngờ.
Kỹ thuật "ma quỷ" trong thế giới số
Ghost Calls không phải là một lỗ hổng bảo mật truyền thống mà là một kỹ thuật khai thác sau xâm nhập (post-exploitation) cực kỳ tinh vi. Thay vì sử dụng các máy chủ điều khiển riêng có thể bị phát hiện, kẻ tấn công thông minh "mượn" chính hạ tầng TURN (Traversal Using Relays around NAT) của các dịch vụ họp trực tuyến hợp pháp.
Cách thức hoạt động của Ghost Calls có thể ví như việc một kẻ trộm không đột nhập trực tiếp vào ngân hàng, mà thay vào đó lại cải trang thành nhân viên giao hàng để đi qua mọi lớp an ninh một cách tự nhiên. Kẻ tấn công sẽ đánh cắp thông tin xác thực TURN tạm thời mà mỗi cuộc họp nhận được khi tham gia họp, sau đó thiết lập một đường hầm bí mật giữa máy tính bị xâm phạm và máy chủ của chúng.
Điều khiến Ghost Calls trở nên đặc biệt nguy hiểm chính là khả năng "hóa trang" hoàn hảo. Toàn bộ lưu lượng truy cập độc hại được định tuyến thông qua các địa chỉ IP và tên miền đáng tin cậy của Zoom hoặc Teams - những địa chỉ thường được các doanh nghiệp đưa vào danh sách trắng (whitelist) và không bị giám sát chặt chẽ.
Praetorian giải thích rằng vì kỹ thuật này tận dụng chính hạ tầng đã được phép đi qua tường lửa doanh nghiệp, proxy và kiểm tra TLS, Ghost Calls có thể dễ dàng qua mặt các biện pháp phòng thủ truyền thống. Hơn nữa, lưu lượng tấn công được "ngụy trang" trong các mẫu lưu lượng cuộc họp video bình thường với độ trễ thấp, giúp các tội phạm mạng loại bỏ hoàn toàn việc phơi bày các tên miền và máy chủ do kẻ tấn công kiểm soát.
Lợi thế kỹ thuật của kẻ tấn công
Các nền tảng họp trực tuyến được thiết kế để hoạt động ngay cả trong môi trường có kiểm soát lưu lượng ra ngoài tương đối nghiêm ngặt. Chính đặc điểm này tạo ra cơ hội vàng cho tin tặc. Nếu có thể xâm phạm vào hệ thống này, khả năng đánh cắp dữ liệu thành công của chúng sẽ cao hơn đáng kể so với các phương pháp truyền thống.
Một lợi thế khác mà các nhà nghiên cứu Praetorian nhấn mạnh là tính chất mã hóa end-to-end của lưu lượng này. Dữ liệu thường được mã hóa bằng AES hoặc các thuật toán mã hóa mạnh khác, khiến lưu lượng tự nhiên bị "che khuất" hoàn toàn và không thể phân tích sâu. Đây chính là "tấm áo choàng tàng hình" hoàn hảo mà kẻ tấn công luôn mơ ước.
Một khía cạnh đáng lo ngại của Ghost Calls là tính chất tạm thời của các thông tin xác thực TURN. Mặc dù các đường hầm chỉ tồn tại trong khoảng 2 - 3 ngày (thời gian hết hạn của TURN credentials), nhưng điều này lại tạo ra thách thức lớn cho việc phát hiện và ngăn chặn.
Điều đáng báo động hơn cả là theo Praetorian, đây không thực sự là một lỗ hổng bảo mật mà các nhà cung cấp có thể "vá" theo cách truyền thống. Thay vào đó, Zoom, Microsoft và các công ty khác phải tập trung vào việc triển khai các biện pháp bảo vệ bổ sung nhằm ngăn chặn các cuộc tấn công Ghost Calls.
Tương lai của an ninh mạng trong kỷ nguyên làm việc từ xa
Sự xuất hiện của Ghost Calls đánh dấu một bước ngoặt quan trọng trong cuộc chiến an ninh mạng. Nó cho thấy các tin tặc đang ngày càng tinh vi hơn, không chỉ tìm kiếm các lỗ hổng kỹ thuật mà còn khai thác cả những "lỗ hổng niềm tin" - tận dụng sự tin tưởng mà chúng ta dành cho các dịch vụ hằng ngày.
Đối với các doanh nghiệp, phát hiện này đặt ra câu hỏi căn bản về cách tiếp cận an ninh mạng. Liệu việc đưa các dịch vụ "đáng tin cậy" vào danh sách trắng có còn là biện pháp an toàn? Làm thế nào để cân bằng giữa bảo mật và tính tiện dụng trong môi trường làm việc hiện đại?
Có thể nói Ghost Calls không chỉ là một kỹ thuật tấn công mới mà còn là lời cảnh báo về việc tin tặc đang thay đổi chiến thuật. Thay vì đối đầu trực tiếp với các hệ thống bảo mật, chúng học cách "hòa mình" vào dòng chảy bình thường của hoạt động doanh nghiệp.
Điều này đòi hỏi cộng đồng an ninh mạng phải suy nghĩ lại về các nguyên tắc cơ bản. Trong thế giới mà ranh giới giữa "đáng tin cậy" và "nguy hiểm" ngày càng mờ nhạt, chúng ta cần phát triển những phương pháp phòng thủ mới - không chỉ dựa trên danh sách trắng/đen mà còn phải hiểu sâu hơn về hành vi và mẫu hoạt động.
Ghost Calls có thể là "ma quỷ" trong thế giới số, nhưng nó cũng là cơ hội để chúng ta trưởng thành hơn trong cuộc chiến bảo vệ không gian mạng.