Suojaudu hakkereilta, jotka käyttävät tietokonemikrofoneja tietojen varastamiseen

Laajamittainen hakkerointi, jossa on hienostuneita taktiikoita, tekniikoita ja menettelytapoja, on nykypäivän järjestys - kuten havaittiin myös raporteissa väitetystä Venäjän hakkeroinnista Yhdysvaltain vaalien aikana - ja nyt hakkerit käyttävät sisäänrakennettuja PC-mikrofoneja hakkeroidakseen tiensä yrityksiin ja henkilötietotiedostot.

Kasvun takana olevat hakkerit ovat saaneet nimensä 'Operation BugDrop', ja niiden avulla hakkerit ovat saaneet useita gigatavuja arkaluonteisia tietoja noin 70 organisaatiolta ja yksilöltä Ukrainasta.

Näihin kuuluvat useiden ukrainalaisten sanomalehtien toimittajat, tieteellinen tutkimuslaitos, ihmisoikeuksien seurantaan, terrorismin torjuntaan, tietoverkkohyökkäyksiin, öljy-, kaasu- ja vesitoimituksiin liittyvät organisaatiot Venäjällä, Saudi-Arabiassa, Ukrainassa ja Itävallassa.

Kyberturvallisuusyrityksen CyberX: n raportin mukaan "operaatiolla pyritään sieppaamaan joukko arkaluontoisia tietoja kohteistaan, mukaan lukien keskustelujen äänitykset, kuvakaappaukset, asiakirjat ja salasanat".

Hakkerit ovat alkaneet käyttää mikrofoneja tavoitetietojen saamiseksi, koska vaikka videotallenteiden estäminen on helppoa asettamalla vain nauha web-kameran päälle, järjestelmän mikrofonin poistaminen käytöstä edellyttää, että irrotat laitteiston fyysisesti.

Suuri osa näistä hakkeroista toteutettiin itsenäisesti julistetuissa Donetskin ja Luhanskin separatistisissa valtioissa - mikä viittaa hallituksen vaikutusvaltaan näissä iskuissa, varsinkin kun Ukrainan hallitus on luokitellut nämä kaksi valtiota terroristiksi.

Hakkerit käyttävät Dropboxia tietojen varastamiseen, koska pilvipalvelun liikennettä tyypillisesti estävät yrityksen palomuurit ja sen läpi kulkevaa liikennettä ei myöskään seurata.

”Operaatio BugDrop tartuttaa uhrit käyttämällä kohdistettuja sähköpostihuijaushyökkäyksiä ja Microsoft Office -liitteisiin upotettuja haitallisia makroja. Se käyttää myös älykästä sosiaalista suunnittelua huijaamaan käyttäjiä makrojen käyttöönottoon, jos niitä ei ole jo käytössä ”, CyberX toteaa.

Esimerkki siitä, miten makrovirushyökkäys toimii

Ottaen esiin tapauksen, CyberX löysi tämän haitallisen Word-asiakirjan, johon oli ladattu makrovirus, jota yleensä yli 90 prosenttia markkinoilla olevista virustorjuntaohjelmista huomaa.

Siihen saakka, kunnes makrot - lyhyesti: tietokonekoodien bitit - ovat käytössä tietokoneellasi, ohjelma ajaa automaattisesti ja korvaa tietokoneesi koodit haitallisilla koodeilla.

Jos makrot poistetaan käytöstä kohdetietokoneessa, - Microsoftin suojausominaisuus, joka poistaa oletuksena kaikki Word-dokumentin makrokoodit - vahingollinen Word-asiakirja avaa valintaikkunan yllä olevan kuvan mukaisesti.

Yllä olevan kuvan teksti on seuraava: ”Huomio! Tiedosto luotiin uudemmassa versiossa Microsoft Office -ohjelmia. Sinun on sallittava makrot, jotta dokumentin sisältö voidaan näyttää oikein."

Heti kun käyttäjä ottaa komennon käyttöön, haitalliset makrokoodit korvaavat tietokoneesi koodit, saastuttavat järjestelmän muut tiedostot ja antavat etäkäytön hyökkääjälle - kuten tässä tapauksessa on havaittu.

Miten ja mitä tietoja hakkerit keräsivät

Hakkerit käyttivät tässä tapauksessa joukko laajennuksia tietojen varastamiseen etäyhteyden saamisen jälkeen kohdelaitteisiin.

Laajennuksiin sisältyi tiedostokeräin, joka etsii useita tiedostopäätteitä ja lähettää ne Dropboxiin; USB-tiedostokeräin, joka etsii ja tallentaa tiedostoja tartunnan saaneen laitteen liitetystä USB-asemasta.

Hyökkäyksessä käytettiin muita kuin näitä keräilijöitä, selaintietojen keräämislaajennusta, joka varastaa kirjautumistiedot ja muuta selaimeen tallennettua arkaluontoista tietoa, laajennusta tietokoneen tietojen keräämiseen, mukaan lukien IP-osoite, omistajan nimi ja osoite sekä muuta.

Kaiken tämän lisäksi haittaohjelmat antoivat hakkereille pääsyn kohdelaitteen mikrofoniin, mikä mahdollistaa äänitallenteet - tallennetaan tutustumiseksi hyökkääjän Dropbox-tallennustilaan.

Vaikka operaatiossa BugDrop oleville kohteille ei ole tehty vahinkoa, CyberX huomauttaa, että "kohteiden tunnistaminen, paikantaminen ja tiedustelu on yleensä laajempiin tavoitteisiin liittyvien operaatioiden ensimmäinen vaihe".

Kun nämä tiedot on koottu ja ladattu hyökkääjän Dropbox-tilille, se ladataan toisesta päästä ja poistetaan pilvestä - jättämättä jälkeäkään transaktiotiedoista.

Hanki perusteellinen tieto hakkeroinnista CyberXin raportissa täällä.

Kuinka suojata sellaisia ​​hyökkäyksiä vastaan?

Vaikka yksinkertaisin tapa suojata sinua makrovirushyökkäyksiltä, ​​ei ole sammuttaa Microsoft Officen Macro-komentojen oletusasetuksia ja luopua kehotteiden pyynnöistä (kuten edellä käsiteltiin).

Jos makroasetusten käyttöönotto on erittäin tarpeen, varmista, että Word-asiakirja tulee luotetusta lähteestä - henkilöstä tai organisaatiosta.

Organisaatiotasolla tällaisten hyökkäysten torjumiseksi olisi otettava käyttöön järjestelmiä, jotka voivat havaita väärinkäytökset heidän IT- ja OT-verkoissaan varhaisessa vaiheessa. Yritykset voivat myös viitata käyttäytymiseen liittyviin analysointialgoritmeihin, jotka auttavat havaitsemaan luvattomia toimia verkossa.

Myös toimintasuunnitelman puolustamiseksi tällaisilta viruksilta pitäisi olla paikoillaan - vaaran välttämiseksi ja arkaluontoisten tietojen menettämisen välttämiseksi, jos hyökkäys suoritetaan.

Raportissa todettiin, että vaikka ei ole vaikeaa näyttöä siitä, että hakkerit olisivat palkanneet valtion virasto.

Mutta hyökkäyksen hienostuneisuuden vuoksi ei ole epäilystäkään siitä, että hakkerit tarvitsivat merkittävää henkilöstöä läpi varastettujen tietojen ja säilytystilan kaikille kerätyille tiedoille - osoittaen, että he olivat joko erittäin rikkaita tai saaneet taloudellista tukea hallitukselta tai kansalaisjärjestö.

Vaikka suurin osa näistä hyökkäyksistä tehtiin Ukrainassa, on turvallista sanoa, että näitä hyökkäyksiä voidaan suorittaa missä tahansa maassa hakkereiden omistamien etujen tai heitä palkkaavien henkilöiden mukaan saada arkaluontoisia tietoja.