Zabezpiecz przed hakerami wykorzystującymi mikrofony komputerowe do kradzieży danych

Hackowanie na dużą skalę przy użyciu wyrafinowanej taktyki, technik i procedur jest na porządku dziennym - jak to również odnotowano w doniesieniach o rzekomym hacku rosyjskim podczas wyborów w USA - a teraz hakerzy używają wbudowanych mikrofonów PC do włamania się do korporacyjnych i pliki danych osobowych.

Hakerzy zaatakowani jako „Operacja BugDrop” zabezpieczyli dziesiątki gigabajtów poufnych danych od około 70 organizacji i osób na Ukrainie.

Należą do nich redaktorzy kilku ukraińskich gazet, instytut badań naukowych, organizacje związane z monitorowaniem praw człowieka, zwalczaniem terroryzmu, cyberatakami, zaopatrzeniem w ropę naftową, gaz i wodę - w Rosji, Arabii Saudyjskiej, Ukrainie i Austrii.

Według raportu cyberbezpiecznej firmy CyberX „operacja ma na celu uchwycenie szeregu poufnych informacji z celów, w tym nagrań audio rozmów, zrzutów ekranu, dokumentów i haseł”.

Hakerzy zaczęli korzystać z mikrofonów jako sposobu uzyskiwania dostępu do danych docelowych, ponieważ chociaż blokowanie nagrań wideo jest łatwe, po prostu umieszczając taśmę na kamerze internetowej, wyłączenie mikrofonu systemu wymaga fizycznego odłączenia sprzętu.

Wiele z tych włamań zostało przeprowadzonych w samozwańczych separatystycznych państwach Donieck i Ługańsk - co wskazuje na wpływ rządu w tych atakach, zwłaszcza że te dwa państwa zostały sklasyfikowane przez ukraiński rząd jako stroje terrorystyczne.

Hakerzy używają Dropbox do kradzieży danych, ponieważ ruch w chmurze zazwyczaj nie jest blokowany przez korporacyjne zapory ogniowe, a ruch przez niego przepływający nie jest monitorowany.

„Operacja BugDrop infekuje swoje ofiary za pomocą ukierunkowanych ataków phishingowych i złośliwych makr osadzonych w załącznikach Microsoft Office. Wykorzystuje również sprytną inżynierię społeczną, aby nakłonić użytkowników do włączenia makr, jeśli nie są one jeszcze włączone ”- stwierdza CyberX.

Przykład działania ataku wirusów makr

Biorąc pod uwagę ten przypadek, CyberX odkrył ten złośliwy dokument Word, który został załadowany wirusem Macro, który zazwyczaj nie jest wykrywany przez ponad 90 procent oprogramowania antywirusowego na rynku.

Dopóki makra - krótko: fragmenty kodów komputerowych - nie są włączone na komputerze, program uruchamia się automatycznie i zastępuje kody w komputerze złośliwymi kodami.

W przypadku, gdy makra są wyłączone na docelowym komputerze, - funkcja zabezpieczeń Microsoft, która domyślnie wyłącza wszystkie kody makr w dokumencie Word - złośliwy dokument Word otwiera okno dialogowe, jak pokazano na obrazku powyżej.

Tekst na powyższym obrazku brzmi: „Uwaga! Plik został utworzony w nowszej wersji programów pakietu Microsoft Office. Musisz włączyć makra, aby poprawnie wyświetlać zawartość dokumentu. ”

Gdy tylko użytkownik włączy polecenie, złośliwe kody makr zastępują kody na komputerze, infekują inne pliki w systemie i dają zdalny dostęp napastnikowi - tak jak w tym przypadku.

Jak i jakie informacje zostały zebrane przez hakerów

Hakerzy w tym przypadku wykorzystali szereg wtyczek do kradzieży danych po uzyskaniu zdalnego dostępu do urządzeń docelowych.

Wtyczki zawierały zbieracz plików, który szuka mnóstwa rozszerzeń plików i przesyła je do Dropbox; Kolektor plików USB, który lokalizuje i przechowuje pliki z podłączonego dysku USB na zainfekowanym urządzeniu.

Poza tymi kolekcjonerami plików, wtyczką do zbierania danych przeglądarki, która kradnie dane logowania i inne poufne dane przechowywane w przeglądarce, w ataku wykorzystano wtyczkę do zbierania danych komputerowych, w tym adres IP, nazwę i adres właściciela i więcej.

Oprócz tego szkodliwe oprogramowanie umożliwiło hakerom dostęp do mikrofonu urządzenia docelowego, co umożliwia nagrywanie dźwięku - zapisywane do wglądu w magazynie Dropbox atakującego.

Podczas gdy w Operacji BugDrop nie wyrządzono żadnych szkód, CyberX wskazuje, że „identyfikacja, zlokalizowanie i przeprowadzenie rozpoznania celów jest zazwyczaj pierwszą fazą operacji o szerszych celach”.

Po zebraniu tych danych i przesłaniu ich na konto Dropbox atakującego jest ono pobierane na drugim końcu i usuwane z chmury - nie pozostawiając śladu informacji dotyczących transakcji.

Zyskaj głębszy wgląd w hak w raporcie CyberX tutaj.

Jak zabezpieczyć się przed takimi atakami?

Chociaż najprostszym sposobem zabezpieczenia użytkownika przed atakami wirusów makr, nie jest wyłączenie domyślnego ustawienia pakietu Microsoft Office dla poleceń makr i nie poddawanie się żądaniom przez monity (jak omówiono powyżej).

Jeśli istnieje pilna potrzeba włączenia ustawień makr, upewnij się, że dokument Word pochodzi z zaufanego źródła - osoby lub organizacji.

Na poziomie organizacyjnym, aby bronić się przed takimi atakami, należy zastosować systemy, które mogą wykryć anomalie w sieciach IT i OT na wczesnym etapie. Firmy mogą również sugerować algorytmy analizy behawioralnej, które pomagają wykrywać nieautoryzowane działania w sieci.

Plan działania, aby bronić się przed takim wirusem, powinien również istnieć - w celu uniknięcia niebezpieczeństwa i uniknięcia utraty wrażliwych danych, jeśli atak zostanie wykonany.

W raporcie stwierdzono, że chociaż nie ma twardego dowodu na to, że hakerzy zostali zatrudnieni przez agencję rządową.

Ale biorąc pod uwagę wyrafinowanie ataku, nie ma wątpliwości, że hakerzy potrzebowali znacznego personelu, aby przejrzeć skradzione dane, jak również miejsce na przechowywanie wszystkich zebranych danych - wskazując, że byli albo bardzo bogaci, albo otrzymali wsparcie finansowe od rządu lub instytucja pozarządowa.

Podczas gdy większość tych ataków była przeprowadzana na Ukrainie, można śmiało powiedzieć, że ataki te mogą być przeprowadzane w dowolnym kraju, w zależności od osobistych interesów hakerów lub osób, które je zatrudniają, aby uzyskać dostęp do poufnych danych.