Zabezpečení proti hackerům používajícím pc mikrofony k odcizení dat

Rozsáhlé hackování se sofistikovanými taktikami, technikami a postupy jsou na denním pořádku - což bylo také svědkem zpráv o údajném ruském hackerství během amerických voleb - a nyní hackeři používají vestavěné PC mikrofony k proniknutí do podnikové sféry a soubory osobních údajů.

Hackeři, kteří byli za útokem pokřtěni jako „operace BugDrop“, si zajistili desítky gigabajtů citlivých dat z přibližně 70 organizací a jednotlivců na Ukrajině.

Mezi ně patří editoři několika ukrajinských novin, vědecký výzkumný ústav, organizace, které jsou spojeny s monitorováním lidských práv, bojem proti terorismu, kybernetickými útoky, dodávkami ropy, plynu a vody - v Rusku, Saúdské Arábii, na Ukrajině a v Rakousku.

Podle zprávy kybernetické bezpečnostní společnosti CyberX „se operace snaží zachytit řadu citlivých informací ze svých cílů, včetně zvukových záznamů o konverzacích, screenshotech, dokumentech a heslech.“

Hackeři začali používat mikrofony jako způsob přístupu k cílovým datům, protože zatímco je snadné blokovat videozáznamy pouhým umístěním pásky na webovou kameru, deaktivace mikrofonu systému vyžaduje, abyste fyzicky odpojili hardware.

Mnoho z těchto hacků bylo provedeno v samostatně deklarovaných separatistických státech Doněck a Luhansk - což naznačuje vládní vliv v těchto útocích, zejména proto, že tyto dva státy byly ukrajinskou vládou klasifikovány jako teroristické oblečení.

Hackeři používají Dropbox k odcizení dat, protože provoz cloudové služby obvykle zůstává odblokován firemními firewally a provoz protékající skrz něj není také monitorován.

„Operace BugDrop infikuje své oběti pomocí cílených útoků na phishing a škodlivých maker vložených do příloh sady Microsoft Office. Používá také chytré sociální inženýrství, aby přiměl uživatele, aby aktivovali makra, pokud již nejsou aktivována, “uvádí CyberX.

Příklad, jak funguje útok na viry makra

Vezmeme-li tento příklad v úvahu, CyberX zjistil tento škodlivý dokument Word, který byl načten virem Macro, který obvykle nezjistí více než 90 procent antivirového softwaru na trhu.

Dokud nejsou na vašem počítači aktivována makra - stručně: kousky počítačových kódů -, program se automaticky spouští a nahrazuje kódy ve vašem počítači škodlivými kódy.

V případě, že jsou makra v cílovém počítači deaktivována, - bezpečnostní funkce společnosti Microsoft, která ve výchozím nastavení zakáže všechny makro kódy v dokumentu Word - škodlivý dokument Word otevře dialogové okno, jak je znázorněno na obrázku výše.

Text na obrázku výše zní: „Pozor! Soubor byl vytvořen v novější verzi programů Microsoft Office. Musíte povolit makra, aby správně zobrazovala obsah dokumentu. “

Jakmile uživatel povolí příkaz, škodlivé makro kódy nahradí kódy v počítači, infikují jiné soubory v systému a umožňují vzdálený přístup útočníkovi - jak je vidět v tomto případě.

Jak a jaké informace shromažďovali hackeři

Hackeři v tomto případě použili řadu pluginů k odcizení dat poté, co získali vzdálený přístup k cílovým zařízením.

Pluginy zahrnovaly sběratel souborů, který hledá velké množství přípon souborů a nahraje je do Dropboxu; USB file collector, který vyhledává a ukládá soubory z připojené jednotky USB na infikovaném zařízení.

Při útoku byly použity kromě těchto sběračů souborů zásuvný modul prohlížeče dat prohlížeče, který ukládá přihlašovací údaje a jiná citlivá data uložená v prohlížeči, zásuvný modul pro sběr počítačových dat včetně IP adresy, jména a adresy vlastníka a další.

Kromě toho všechno malware také poskytl hackerům přístup k mikrofonu cílového zařízení, což umožňuje zvukové nahrávky - uložené pro prozkoumání v úložišti Dropbox útočníka.

Přestože nedošlo k poškození cílů v operaci BugDrop, CyberX zdůrazňuje, že „identifikace, lokalizace a provedení průzkumu cílů je obvykle první fáze operací se širšími cíli“.

Jakmile jsou tyto údaje shromážděny a nahrány na účet Dropbox útočníka, stáhnou se na druhý konec a odstraní se z cloudu - nezanechají žádné stopy transakčních informací.

Zde získáte podrobné informace o hacku ve zprávě CyberXu.

Jak se chránit před takovými útoky?

Ačkoli nejjednodušší způsob, jak vás ochránit před útoky makro virů, není vypnout výchozí nastavení Microsoft Office pro makro příkazy a nevydávat žádosti na základě výzev (jak je uvedeno výše).

Pokud existuje nutnost povolit nastavení makra, zajistěte, aby dokument aplikace Word pocházel z důvěryhodného zdroje - osoby nebo organizace.

Na organizační úrovni by se v zájmu ochrany před takovými útoky měly používat systémy, které mohou včas odhalit anomálie v jejich IT a OT sítích. Společnosti mohou také implementovat analytické algoritmy chování, které pomáhají detekovat neautorizované činnosti v síti.

Měl by být také zaveden akční plán na obranu proti takovým virům - aby se odvrátilo nebezpečí a zabránilo se ztrátě citlivých dat, pokud dojde k útoku.

Zpráva dospěla k závěru, že ačkoli neexistuje žádný tvrdý důkaz, že hackeři byli najati vládní agenturou.

Ale vzhledem k sofistikovanosti útoku není pochyb o tom, že hackeři potřebovali významný personál, aby prošel ukradenými daty a úložným prostorem pro všechna shromážděná data - což naznačuje, že byli buď velmi bohatí, nebo dostali finanční podporu od vlády nebo nevládní instituce.

Zatímco většina těchto útoků byla vedena na Ukrajině, lze s jistotou říci, že tyto útoky lze provádět v jakékoli zemi v závislosti na oprávněných zájmech hackerů nebo lidí, kteří je najímají, aby získali přístup k citlivým datům.