Védelem a számítógépes mikrofonokat használó hackerek ellen az adatok ellopására

A korszerű taktikákkal, technikákkal és eljárásokkal történő nagyméretű hackelés napjaink rendje - amint azt az amerikai választások során az állítólagos orosz csapkodásról szóló jelentések is tanúi voltak -, és most a hackerek beépített PC-mikrofonokat használnak, hogy behatoljanak a vállalatiba és személyes adatfájlok.

A „BugDrop mûvelet” néven keresztelve a támadás mögött lévõ hackerek kb. 70 ukrán szervezettõl és magánszemélytől származó gigabájt érzékeny adatokat szereztek.

Ide tartoznak több ukrán újság szerkesztője, egy tudományos kutatóintézet, az emberi jogok megfigyelésével, a terrorizmus elleni küzdelemmel, az internetes támadásokkal, az olaj-, gáz- és vízellátással kapcsolatos szervezetek - Oroszországban, Szaúd-Arábiában, Ukrajnában és Ausztriában.

A CyberX kiberbiztonsági cég jelentése szerint "a művelet arra törekszik, hogy érzékeny információkat gyűjtsön a célokról, ideértve a beszélgetések hangfelvételeit, képernyőképeket, dokumentumokat és jelszavakat".

A hackerek megkezdték a mikrofonok használatát a céladatok elérésének egyik módjaként, mivel bár a videofelvételeket egyszerűen blokkolni lehet, ha egyszerűen csak szalagot helyeznek a webkamera fölé, a rendszer mikrofonjának letiltásához a hardvert fizikailag ki kell húzni.

Ezeknek a hackeknek nagy részét Donetsk és Luhansk önkéntes kijelentéseiben hajtották végre - jelezve a kormány befolyását ezekben a támadásokban, különösen azért, mert az ukrán kormány ezeket a két államot terrorista ruháknak minősítette.

A hackerek adatlopáshoz használják a Dropbox alkalmazást, mivel a felhőalapú szolgáltatás forgalmát általában a vállalati tűzfalak akadályozzák és a rajta áramló forgalmat szintén nem figyeli.

„A BugDrop művelet célzott e-mail adathalász támadásokkal és a Microsoft Office mellékleteiben beágyazott rosszindulatú makrókkal fertőzi meg áldozatait. Az intelligens szociális mérnökök segítségével rácsapja a felhasználókat az engedélyező makrókra, ha még nem engedélyezettek ”- állítja a CyberX.

Példa a makróvírus-támadás működésére

A példát szem előtt tartva, a CyberX rájött erre a rosszindulatú Word-dokumentumra, amelyet makrovírus töltött be, amelyet általában a piacon lévő antivírusszoftver több mint 90% -a észlel.

Amíg a makrók - röviden: a számítógépes kódok bitjei - nem engedélyezettek a számítógépen, a program automatikusan fut, és a számítógépen lévő kódokat rosszindulatú kódokkal helyettesíti.

Abban az esetben, ha a makrókat letiltják a célszámítógépen, - egy Microsoft biztonsági szolgáltatás, amely alapértelmezés szerint letiltja a Word-dokumentumok összes makró-kódját - a rosszindulatú Word-dokumentum a fenti képen látható párbeszédpanelt nyit meg.

A fenti képen a következő szöveg van: „Figyelem! A fájlt a Microsoft Office programok újabb verziójában hozták létre. A makróknak engedélyezniük kell a dokumentum tartalmának helyes megjelenítését. ”

Amint a felhasználó engedélyezi a parancsot, a rosszindulatú makrokódok helyettesítik a számítógépen található kódokat, megfertőzik a rendszer többi fájlját és távoli hozzáférést biztosítanak a támadóhoz - ahogy az a jelen esetben is látható.

Hogyan és milyen információkat gyűjtöttek a hackerek

A hackerek ebben az esetben plugins tömböt használtak az adatok ellopására, miután távoli hozzáférést szereztek a cél eszközökhöz.

A beépülő modulok tartalmazta a fájlgyűjtőt, amely sok fájlkiterjesztést keres, és feltölti a Dropboxba; USB fájlgyűjtő, amely a fertőzött eszköz csatlakoztatott USB-meghajtóján tárolja és tárolja a fájlokat.

Ezeken a fájlgyűjtőkön kívül a támadás során böngésző adatgyűjtő bővítményt használt, amely ellopja a bejelentkezési hitelesítő adatokat és a böngészőben tárolt egyéb érzékeny adatokat, valamint a számítógépes adatok gyűjtésére szolgáló plugint, beleértve az IP címet, a tulajdonos nevét és címét, valamint egyebek.

Mindezek mellett a rosszindulatú programok a hackerek számára is hozzáférést biztosítottak a cél eszköz mikrofonjához, amely lehetővé teszi a hangfelvételeket - a támadó Dropbox tárolójában való megismerés céljából.

Noha a BugDrop művelet nem sértette a célokat, a CyberX rámutat, hogy „a célok azonosítása, lokalizálása és felderítése általában a tágabb célokkal végzett műveletek első szakasza”.

Miután ezeket az adatokat összegyűjtötték és feltöltötték a támadó Dropbox fiókjába, letöltik a másik végről, és törlik a felhőből - nem hagynak nyomot a tranzakciós adatokról.

Részletes betekintést nyer a haberről a CyberX jelentésében.

Hogyan lehet védekezni az ilyen támadások ellen?

Míg a makrovírus-támadások elleni védekezés legegyszerűbb módja a Microsoft Office alapértelmezett beállításának kikapcsolása a makróparancsok számára, és nem engedés a figyelmeztetések kéréseinek (a fentiekben tárgyaltuk).

Ha feltétlenül szüksége van a makróbeállítások engedélyezésére, akkor ellenőrizze, hogy a Word dokumentum megbízható forrásból származik - egy személytől vagy egy szervezettől.

Szervezeti szinten az ilyen támadásokkal szembeni védekezés érdekében olyan rendszereket kell alkalmazni, amelyek már a korai szakaszban észlelhetik az IT és OT hálózatukban fellépő rendellenességeket. A vállalatok olyan viselkedési elemző algoritmusokat is felvethetnek, amelyek segítenek a hálózatban illetéktelen tevékenységek felderítésében.

Az ilyen vírusok elleni védekezésre irányuló cselekvési tervnek is helyénvalónak kell lennie - a veszély elkerülése és az érzékeny adatok elvesztésének elkerülése érdekében, ha támadást hajtanak végre.

A jelentés arra a következtetésre jutott, hogy bár nincs szilárd bizonyíték arra, hogy a hackereket egy kormányhivatal bérelt volna fel.

Mivel azonban a támadás kifinomult, nem kétséges, hogy a hackereknek jelentős személyzettel volt szükségük az ellopott adatok áttekintésére, valamint az összes összegyűjtött adat tárolására - jelezve, hogy vagy nagyon gazdagok, vagy pénzügyi támogatást kaptak egy kormánytól, vagy nem kormányzati intézmény.

Noha a támadások többségét Ukrajnában követték el, nyugodtan mondhatjuk, hogy ezeket a támadásokat bármely országban meg lehet valósítani a hackerek érdekeitől vagy az őket bérelő személyektől függően, hogy hozzáférjenek az érzékeny adatokhoz.