Προστατεύστε τους hackers που χρησιμοποιούν μικροφώνια PC για να κλέψουν τα δεδομένα

Οι μεγάλης κλίμακας πειρατείας με τεχνικές και διαδικασίες είναι η τάξη της ημέρας - όπως διαπιστώθηκε και σε αναφορές σχετικά με την υποτιθέμενη ρωσική ράχη κατά τις εκλογές στις ΗΠΑ - και τώρα οι χάκερ χρησιμοποιούν ενσωματωμένα μικρόφωνα PC για να εισβάλουν στην εταιρική και αρχεία προσωπικών δεδομένων.

Ονομάστηκε "Operation BugDrop", οι χάκερ πίσω από την επίθεση εξασφάλισαν δέκα gigabytes ευαίσθητων δεδομένων από περίπου 70 οργανισμούς και άτομα στην Ουκρανία.

Αυτές περιλαμβάνουν εκδότες πολλών ουκρανικών εφημερίδων, ινστιτούτο επιστημονικής έρευνας, οργανώσεις που σχετίζονται με την παρακολούθηση των ανθρωπίνων δικαιωμάτων, την καταπολέμηση της τρομοκρατίας, τις επιθέσεις στον κυβερνοχώρο, το πετρέλαιο, το φυσικό αέριο και το νερό - στη Ρωσία, τη Σαουδική Αραβία, την Ουκρανία και την Αυστρία.

Σύμφωνα με μια έκθεση της CyberX, η εταιρεία CyberX επιχειρεί να καταγράψει μια σειρά από ευαίσθητες πληροφορίες από τους στόχους της, συμπεριλαμβανομένων των ηχογραφήσεων συνομιλιών, screenshots, εγγράφων και κωδικών πρόσβασης.

Οι χάκερ έχουν αρχίσει να χρησιμοποιούν τα μικρόφωνα ως τρόπο πρόσβασης στα δεδομένα στόχων επειδή, ενώ είναι εύκολο να αποκλείσετε εγγραφές βίντεο απλά τοποθετώντας μια ταινία πάνω στην κάμερα, απενεργοποιώντας το μικρόφωνο του συστήματός σας απαιτεί να αποσυνδέσετε φυσικά το υλικό.

Πολλές από αυτές τις αμυχές διεξήχθησαν σε αυτοδιαδηλωμένες αποσχιστικές πολιτείες του Ντονέτσκ και του Λουάνσκ - γεγονός που υποδηλώνει επιρροή της κυβέρνησης σε αυτές τις επιθέσεις, ειδικά αφού αυτά τα δύο κράτη έχουν χαρακτηριστεί ως τρομοκρατικές ενδυμασίες από την ουκρανική κυβέρνηση.

Οι χάκερ χρησιμοποιούν το Dropbox για κλοπή δεδομένων καθώς η επισκεψιμότητα της υπηρεσίας cloud συνήθως παραμένει απεμπλοκοποιημένη από εταιρικά τείχη προστασίας και η κυκλοφορία που περνά μέσα από αυτήν δεν παρακολουθείται επίσης.

"Η λειτουργία BugDrop μολύνει τα θύματά της χρησιμοποιώντας στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος ηλεκτρονικού ταχυδρομείου και κακόβουλες μακροεντολές ενσωματωμένες στα συνημμένα του Microsoft Office. Χρησιμοποιεί επίσης έξυπνη κοινωνική μηχανική για να εξαπατήσει τους χρήστες να ενεργοποιήσουν μακροεντολές εάν δεν είναι ήδη ενεργοποιημένες ", δηλώνει η CyberX.

Ένα παράδειγμα για το πώς λειτουργεί το Macro Virus Attack

Λαμβάνοντας υπόψη την περίπτωση, η CyberX ανακάλυψε αυτό το κακόβουλο έγγραφο του Word που φορτώθηκε με ιό Macro, το οποίο συνήθως δεν εντοπίζεται από το 90% του λογισμικού προστασίας από ιούς στην αγορά.

Μέχρι να υπάρχουν μακροεντολές - σύντομα: τα κομμάτια των κωδικών υπολογιστών - είναι ενεργοποιημένα στον υπολογιστή σας, το πρόγραμμα εκτελείται αυτόματα και αντικαθιστά τους κωδικούς στον υπολογιστή σας με κακόβουλους κωδικούς.

Σε περίπτωση που οι μακροεντολές είναι απενεργοποιημένες στον υπολογιστή προορισμού, - μια λειτουργία ασφαλείας της Microsoft η οποία απενεργοποιεί προεπιλογή όλους τους κωδικούς μακροεντολών σε ένα έγγραφο του Word - το κακόβουλο έγγραφο του Word ανοίγει ένα παράθυρο διαλόγου όπως απεικονίζεται στην παραπάνω εικόνα.

Το κείμενο στην παραπάνω εικόνα διαβάζει: "Προσοχή! Το αρχείο δημιουργήθηκε σε μια νεότερη έκδοση των προγραμμάτων του Microsoft Office. Πρέπει να ενεργοποιήσετε τις μακροεντολές για να εμφανίσετε σωστά τα περιεχόμενα ενός εγγράφου."

Μόλις ο χρήστης ενεργοποιήσει την εντολή, οι κωδικοί κακόβουλων μακροεντολών αντικαθιστούν τους κώδικες στον υπολογιστή σας, μολύνουν άλλα αρχεία στο σύστημα και δίνουν απομακρυσμένη πρόσβαση στον εισβολέα - όπως συμβαίνει στην προκειμένη περίπτωση.

Πώς και ποιες πληροφορίες συλλέχθηκαν από τους χάκερς

Οι χάκερ, σε αυτήν την περίπτωση, χρησιμοποίησαν μια σειρά από plugins για να κλέψουν τα δεδομένα αφού απέκτησαν απομακρυσμένη πρόσβαση στις συσκευές προορισμού.

Τα plugins περιελάμβαναν τον συλλέκτη αρχείων, ο οποίος αναζητά πλήθος επεκτάσεων αρχείων και τα μεταφορτώνει στο Dropbox. Συλλέκτης αρχείων USB, το οποίο εντοπίζει και αποθηκεύει αρχεία από μια συνδεδεμένη μονάδα USB στη μολυσμένη συσκευή.

Εκτός από αυτούς τους συλλέκτες αρχείων, το plugin συλλογής δεδομένων του προγράμματος περιήγησης, το οποίο κλέβει τα διαπιστευτήρια σύνδεσης και άλλα ευαίσθητα δεδομένα που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, χρησιμοποιήθηκε plugin για τη συλλογή δεδομένων υπολογιστή, συμπεριλαμβανομένης της διεύθυνσης IP, του ονόματος και της διεύθυνσης του ιδιοκτήτη κ.ά.

Εκτός από όλα αυτά, το κακόβουλο λογισμικό έδωσε επίσης πρόσβαση στους χάκερς στο μικρόφωνο της συσκευής στόχευσης, το οποίο επιτρέπει την εγγραφή ήχου - που αποθηκεύεται για έλεγχο στην αποθήκευση Dropbox του εισβολέα.

Παρόλο που δεν έχει σημειωθεί καμία ζημιά στους στόχους της επιχείρησης BugDrop, η CyberX επισημαίνει ότι «η αναγνώριση, ο εντοπισμός και η πραγματοποίηση αναγνώρισης των στόχων είναι συνήθως η πρώτη φάση των επιχειρήσεων με ευρύτερους στόχους».

Αφού συλλεχθούν αυτές οι λεπτομέρειες και φορτωθούν στο λογαριασμό Dropbox του εισβολέα, κατεβάζονται στο άλλο άκρο και διαγράφονται από το σύννεφο - χωρίς να αφήνουν ίχνος των πληροφοριών συναλλαγής.

Αποκτήστε μια εμπεριστατωμένη γνώση σχετικά με το hack στην αναφορά της CyberX εδώ.

Πώς να προστατεύσουμε από τέτοιες επιθέσεις;

Ενώ ο πιο απλός τρόπος για να σας διαφυλάξουμε από επιθέσεις με ιούς μακροεντολών δεν απενεργοποιεί την προεπιλεγμένη ρύθμιση του Microsoft Office για τις εντολές μακροεντολών και δεν παραδίδει τα αιτήματα με οδηγίες (όπως αναφέρθηκε παραπάνω).

Εάν υπάρχει κακή ανάγκη να ενεργοποιήσετε τις ρυθμίσεις μακροεντολών, βεβαιωθείτε ότι το έγγραφο του Word προέρχεται από μια αξιόπιστη πηγή - ένα άτομο ή έναν οργανισμό.

Σε οργανωτικό επίπεδο, για την υπεράσπιση από τέτοιες επιθέσεις, θα πρέπει να τεθούν σε λειτουργία συστήματα τα οποία μπορούν να ανιχνεύσουν ανωμαλίες στα δίκτυά τους στον τομέα των τεχνολογιών πληροφορικής και των τηλεοπτικών σταθμών σε πρώιμο στάδιο. Οι εταιρείες μπορούν επίσης να υποδηλώνουν αλγορίθμους συμπεριφορικής ανάλυσης που βοηθούν στην ανίχνευση μη εξουσιοδοτημένων δραστηριοτήτων στο δίκτυο.

Ένα σχέδιο δράσης για την άμυνα εναντίον αυτού του ιού πρέπει επίσης να υπάρχει - προκειμένου να αποφευχθεί ο κίνδυνος και να αποφευχθεί η απώλεια ευαίσθητων δεδομένων σε περίπτωση εκτέλεσης μιας επίθεσης.

Η έκθεση κατέληξε στο συμπέρασμα ότι, ενώ δεν υπάρχουν αποδείξεις ότι οι χάκερ προσλήφθηκαν από κυβερνητική υπηρεσία.

Ωστόσο, δεδομένης της πολυπλοκότητας της επίθεσης, δεν υπάρχει αμφιβολία ότι οι χάκερ χρειάζονται σημαντικό προσωπικό για να περάσουν από τα κλεμμένα δεδομένα καθώς και χώρο αποθήκευσης για όλα τα δεδομένα που συλλέχθηκαν - υποδεικνύοντας ότι είτε ήταν πολύ πλούσιοι είτε έλαβαν οικονομική υποστήριξη από μια κυβέρνηση ή μη κυβερνητικό ίδρυμα.

Ενώ η πλειοψηφία αυτών των επιθέσεων διεξήχθησαν στην Ουκρανία, είναι ασφαλές να πούμε ότι αυτές οι επιθέσεις μπορούν να διεξαχθούν σε οποιαδήποτε χώρα ανάλογα με τα συμφέροντα των χάκερ ή τους ανθρώπους που προσλαμβάνουν για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.