Защита от хакеров, использующих компьютерные микрофоны для кражи данных

Крупномасштабный хакерство со сложной тактикой, техникой и процедурами - это обычное дело, о чем также сообщалось в сообщениях о предполагаемом взломе русских во время выборов в США, и теперь хакеры используют встроенные микрофоны для ПК, чтобы проникнуть в корпоративную сеть. и файлы личных данных.

Названные «Операцией BugDrop», хакеры, стоящие за этой атакой, получили десятки гигабайт конфиденциальных данных от около 70 организаций и частных лиц в Украине.

К ним относятся редакторы нескольких украинских газет, научно-исследовательский институт, организации, связанные с мониторингом прав человека, борьбой с терроризмом, кибератаками, поставками нефти, газа и воды - в России, Саудовской Аравии, Украине и Австрии.

Согласно отчету CyberX, CyberX, «операция нацелена на получение конфиденциальной информации от ее целей, включая аудиозаписи разговоров, снимки экрана, документы и пароли».

Хакеры начали использовать микрофоны как способ доступа к целевым данным, потому что, хотя легко блокировать видеозаписи, просто поместив ленту над веб-камерой, отключение микрофона вашей системы требует физического отключения оборудования.

Многие из этих взломов были проведены в самопровозглашенных сепаратистских государствах Донецк и Луганск, что указывает на влияние правительства в этих атаках, тем более что эти два государства были классифицированы как террористические наряды правительством Украины.

Хакеры используют Dropbox для кражи данных, поскольку трафик облачной службы обычно остается заблокированным корпоративными брандмауэрами, а трафик, проходящий через него, также не отслеживается.

«Операция BugDrop заражает своих жертв с помощью целенаправленных фишинговых атак по электронной почте и вредоносных макросов, встроенных в приложения Microsoft Office. Он также использует умную социальную инженерию, чтобы обманным путем заставить пользователей включать макросы, если они еще не включены », - заявляет CyberX.

Пример работы макровирусной атаки

В качестве примера, CyberX обнаружил этот вредоносный документ Word, который был загружен макро-вирусом, который обычно не обнаруживается более чем 90 процентами антивирусного программного обеспечения на рынке.

Пока макросы - кратко: биты компьютерных кодов - не будут включены на вашем компьютере, программа автоматически запускается и заменяет коды на вашем компьютере вредоносными кодами.

В случае, если макросы отключены на целевом ПК, - функция безопасности Microsoft, которая по умолчанию отключает все коды макросов в документе Word, - вредоносный документ Word открывает диалоговое окно, как показано на рисунке выше.

Текст на изображении выше гласит: «Внимание! Файл был создан в более новой версии программ Microsoft Office. Вы должны включить макросы для правильного отображения содержимого документа ».

Как только пользователь активирует команду, вредоносные макрокоды заменяют коды на вашем ПК, заражают другие файлы в системе и предоставляют злоумышленнику удаленный доступ - как показано в данном случае.

Как и какую информацию собирали хакеры

В этом случае хакеры использовали массив плагинов для кражи данных после получения удаленного доступа к целевым устройствам.

Плагины включали сборщик файлов, который ищет множество расширений файлов и загружает их в Dropbox; USB-сборщик файлов, который находит и хранит файлы с подключенного USB-накопителя на зараженном устройстве.

Кроме этих сборщиков файлов, в атаке использовался плагин сбора данных браузера, который крадет учетные данные для входа в систему и другие конфиденциальные данные, хранящиеся в браузере, плагин для сбора данных компьютера, включая IP-адрес, имя и адрес владельца и многое другое.

В дополнение ко всему этому вредоносная программа также предоставила хакерам доступ к микрофону целевого устройства, который позволяет записывать аудиозаписи - сохраненные для прочтения в хранилище Dropbox злоумышленника.

Хотя в операции «BugDrop» не было нанесено никакого ущерба целям, CyberX отмечает, что «выявление, определение местоположения и проведение разведки целей обычно является первым этапом операций с более широкими целями».

Как только эти данные собраны и загружены в аккаунт Dropbox злоумышленника, он загружается на другом конце и удаляется из облака, не оставляя следов транзакции.

Получите всестороннее понимание взлома в отчете CyberX здесь.

Как защититься от таких атак?

Хотя самый простой способ защитить вас от макровирусных атак - это не отключить настройку Microsoft Office по умолчанию для макрокоманд и не поддаваться запросам по подсказкам (как обсуждалось выше).

Если есть острая необходимость включить настройки макроса, убедитесь, что документ Word поступает из надежного источника - человека или организации.

На организационном уровне для защиты от таких атак необходимо использовать системы, которые могут обнаруживать аномалии в своих сетях ИТ и ОТ на ранней стадии. Компании также могут использовать алгоритмы поведенческой аналитики, которые помогают обнаруживать несанкционированные действия в сети.

Должен быть также разработан план действий по защите от такого вируса, чтобы предотвратить опасность и избежать потери конфиденциальных данных при выполнении атаки.

В докладе сделан вывод, что пока нет веских доказательств того, что хакеры были наняты государственным органом.

Но, учитывая сложность атаки, нет никаких сомнений в том, что хакерам нужен был значительный персонал, чтобы пройти через украденные данные, а также место для хранения всех собранных данных, что указывает на то, что они либо очень богаты, либо получили финансовую поддержку от правительства или неправительственное учреждение.

Хотя большинство этих атак было совершено в Украине, можно с уверенностью сказать, что эти атаки могут проводиться в любой стране в зависимости от личных интересов хакеров или людей, нанимающих их для получения доступа к конфиденциальным данным.