Beskytt mot hackere som bruker pc-mikrofoner for å stjele data

Hacking i stor skala med sofistikerte taktikker, teknikker og prosedyrer er dagens orden - slik det også ble sett i rapporter om det påståtte russiske hacket under det amerikanske valget - og nå bruker hackere innebygde PC-mikrofoner for å hacke seg inn i bedriftsleddet og personlige datafiler.

Døpt som 'Operation BugDrop', har hackerne bak angrepet sikret mange gigabyte sensitive data fra rundt 70 organisasjoner og enkeltpersoner i Ukraina.

Disse inkluderer redaktører av flere ukrainske aviser, et vitenskapelig forskningsinstitutt, organisasjoner som er assosiert med overvåking av menneskerettigheter, terrorbekjempelse, cyberangrep, olje, gass og vannforsyning - i Russland, Saudi-Arabia, Ukraina og Østerrike.

I følge en rapport fra cybersikkerhetsfirmaet CyberX, "søker operasjonen å fange opp en rekke sensitive opplysninger fra sine mål, inkludert lydopptak av samtaler, skjermbilder, dokumenter og passord."

Hackere har begynt å bruke mikrofoner som en måte å få tilgang til måldata fordi, selv om det er enkelt å blokkere videoopptak ved å plassere et bånd over webkameraet, vil deaktivering av systemets mikrofon kreve at du kobler fra maskinvaren fysisk.

Mange av disse hakkene ble utført i selverklærte separatiststater Donetsk og Luhansk - noe som indikerer regjeringsinnflytelse i disse angrepene, spesielt siden disse to delstatene er blitt klassifisert som terrorantrekk av den ukrainske regjeringen.

Hackerne bruker Dropbox for datatyveri da skytjenestens trafikk vanligvis ikke blir sperret av brannmurer i bedriftene, og trafikken som flyter gjennom den ikke overvåkes i tillegg.

“Operation BugDrop infiserer ofrene sine ved hjelp av målrettede nettfiskeangrep og ondsinnede makroer som er innebygd i Microsoft Office-vedlegg. Den bruker også smart sosial teknikk for å lure brukere til å aktivere makroer hvis de ikke allerede er aktivert, ”uttaler CyberX.

Et eksempel på hvordan makrovirusangrep fungerer

Med utgangspunkt i saken fant CyberX ut dette ondsinnede Word-dokumentet som var lastet med makrovirus, som vanligvis ikke blir oppdaget av mer enn 90 prosent av antivirusprogramvaren i markedet.

Inntil makroer - kort: biter av datakoder - er aktivert på PC-en, kjører programmet automatisk og erstatter koder på din PC med ondsinnede koder.

I tilfelle er makroer deaktivert på mål-PCen, - en sikkerhetsfunksjon fra Microsoft som som standard deaktiverer alle makrokoder på et Word-dokument - det ondsinnede Word-dokumentet åpner en dialogboks som avbildet på bildet over.

Teksten på bildet over lyder: “Oppmerksomhet! Filen ble opprettet i en nyere versjon av Microsoft Office-programmer. Du må aktivere makroer for å vise innholdet i et dokument riktig."

Så snart en bruker aktiverer kommandoen, erstatter ondsinnede makrokoder koder på PC-en din, infiserer andre filer på systemet og gir fjerntilgang til angriperen - som det kan sees i tilfelle.

Hvordan og hvilken informasjon ble samlet inn av hackere

Hackere, i dette tilfellet, brukte en rekke plugins for å stjele data etter å ha fått ekstern tilgang til målenhetene.

Pluginsene inkluderte filsamler, som ser etter mange filendelser og laster dem opp til Dropbox; USB-filsamler, som finner og lagrer filer fra en tilknyttet USB-stasjon på den infiserte enheten.

Annet enn disse filsamlerne, nettleserdata som samler inn plugin som stjeler påloggingsinformasjon og andre sensitive data som er lagret i nettleseren, en plugin for å samle inn datamaskindata inkludert IP-adresse, navn og adresse til eieren og mer ble brukt i angrepet.

I tillegg til alt dette ga malware også hackere tilgang til målenhetens mikrofon, som muliggjør lydopptak - lagret for gjennomlesning i Dropbox-lagring av angriperen.

Selv om det ikke er gjort skade på målene i Operation BugDrop, påpeker CyberX at "det å identifisere, lokalisere og utføre rekognosering på mål er vanligvis den første fasen av operasjoner med bredere mål."

Når disse detaljene er samlet og lastet opp til angriperens Dropbox-konto, lastes de ned i den andre enden og slettes fra skyen - uten å etterlate spor av transaksjonsinformasjonen.

Få en dyptgående innsikt om hackingen i CyberXs rapport her.

Hvordan ivareta mot slike angrep?

Selv om den mest enkle måten å beskytte deg mot makrovirusangrep ikke er å slå av Microsoft Kontors standardinnstilling for makrokommandoer og ikke gi etter for forespørsler fra spørsmål (som diskutert ovenfor).

Hvis det er et stort behov for å aktivere makroinnstillinger, må du forsikre deg om at Word-dokumentet kommer fra en pålitelig kilde - en person eller en organisasjon.

For å forsvare seg mot slike angrep på organisasjonsnivå, bør det tas i bruk systemer som kan oppdage avvik i deres IT- og OT-nettverk på et tidlig tidspunkt. Bedrifter kan også antyde atferdsanalysealgoritmer som hjelper til med å oppdage uautoriserte aktiviteter i nettverket.

En handlingsplan for å forsvare seg mot et slikt virus bør være på plass også - for å avverge faren og unngå å miste sensitive data hvis et angrep blir utført.

Rapporten konkluderte med at selv om det ikke er noe hardt bevis på at hackerne ble ansatt av et myndighetsorgan.

Men gitt raffinementet av angrepet, er det ingen tvil om at hackerne trengte en betydelig stab for å gå gjennom de stjålne dataene, samt lagringsplass for alle dataene som ble samlet inn - noe som indikerer at de enten var veldig rike eller fikk økonomisk støtte fra en regjering eller ikke-statlig institusjon.

Mens et flertall av disse angrepene ble utført i Ukraina, er det trygt å si at disse angrepene kan utføres i ethvert land avhengig av hackernes interesser eller menneskene som ansetter dem for å få tilgang til sensitive data.