Melindungi terhadap penggodam menggunakan mikrofon pc untuk mencuri data

Penggambaran berskala besar dengan taktik, teknik dan prosedur yang canggih adalah perintah hari itu - seperti yang juga disaksikan dalam laporan mengenai hack Rusia yang dikatakan semasa pilihan raya AS - dan kini penggodam menggunakan mikrofon PC terbina dalam untuk menggodam jalan ke dalam korporat dan fail data peribadi.

Diwarisi sebagai 'Operation BugDrop', penggodam di belakang serangan telah memperoleh skor data gigabyte sensitif dari sekitar 70 organisasi dan individu di Ukraine.

Ini termasuk editor beberapa akhbar Ukranian, institut penyelidikan saintifik, organisasi yang berkaitan dengan pemantauan hak asasi manusia, kaunter keganasan, serangan siber, minyak, gas dan bekalan air - di Rusia, Arab Saudi, Ukraine dan Austria.

Menurut laporan oleh firma keselamatan siber CyberX, "operasi itu bertujuan untuk menangkap pelbagai maklumat sensitif dari sasarannya termasuk rakaman audio perbualan, tangkapan skrin, dokumen dan kata laluan."

Peretas telah mula menggunakan mikrofon sebagai cara untuk mengakses data sasaran kerana, walaupun mudah untuk menyekat rakaman video dengan hanya meletakkan pita di atas webcam, melumpuhkan mikrofon sistem anda memerlukan anda untuk mencabut perkakasan secara fizikal.

Kebanyakan hacks ini dijalankan di negara-negara separatis yang mengisytiharkan diri sendiri dari Donetsk dan Luhansk - menunjukkan pengaruh kerajaan dalam serangan-serangan ini, terutama kerana kedua-dua negeri itu telah diklasifikasikan sebagai pakaian pengganas oleh kerajaan Ukraine.

Penggodam menggunakan Dropbox untuk kecurian data kerana lalu lintas perkhidmatan awan biasanya dibatalkan oleh firewall korporat dan lalu lintas yang mengalir melaluinya tidak dipantau juga.

"Operasi BugDrop menjangkiti mangsa menggunakan serangan phishing email yang disasarkan dan makro jahat yang tertanam dalam lampiran Microsoft Office. Ia juga menggunakan kejuruteraan sosial pintar untuk menipu pengguna untuk membolehkan makro jika mereka tidak diaktifkan, "kata CyberX.

Contoh Bagaimana Cara Menyerang Virus Macro

Mengambil kes itu, CyberX mendapati dokumen Word berbahaya yang dimuatkan dengan virus Macro, yang biasanya tidak dideteksi oleh lebih daripada 90 peratus perisian anti-virus di pasaran.

Sehingga makro - secara ringkas: bit kod komputer - didayakan pada PC anda, program auto-berjalan dan menggantikan kod dalam PC anda dengan kod berniat jahat.

Dalam kes, makro dinyahdayakan pada PC sasaran, - ciri keselamatan Microsoft yang secara lalai melumpuhkan semua kod makro pada dokumen Word - dokumen Word berniat jahat membuka kotak dialog seperti yang digambarkan dalam imej di atas.

Teks pada imej di atas berbunyi: "Perhatian! Fail dibuat dalam versi Microsoft Office yang lebih baru. Anda mesti mendayakan makro untuk memaparkan kandungan dokumen dengan betul."

Sebaik sahaja pengguna membolehkan arahan itu, kod makro berniat jahat menggantikan kod pada PC anda, menjangkiti fail lain pada sistem dan memberikan akses jauh kepada penyerang - seperti yang dilihat dalam kes itu.

Bagaimana dan Maklumat Apa yang Dikumpul oleh Peretas

Hacker, dalam kes ini, menggunakan pelbagai pemalam untuk mencuri data selepas mendapat akses jauh ke peranti sasaran.

Plugin termasuk pemungut fail, yang mencari banyak sambungan fail dan memuat naiknya ke Dropbox; Pemungut fail USB, yang menempatkan dan menyimpan fail dari pemacu USB dilampirkan pada peranti yang dijangkiti.

Selain pemungut fail ini, data penyemak imbas yang mengumpul plugin yang mencuri kelayakan login dan data sensitif lain yang disimpan dalam penyemak imbas, pemalam untuk mengumpul data komputer termasuk alamat IP, nama dan alamat pemilik dan banyak lagi yang digunakan dalam serangan itu.

Sebagai tambahan kepada semua ini, perisian hasad juga memberikan akses hacker ke mikrofon peranti sasaran, yang membolehkan rakaman audio - disimpan untuk dijelajahi dalam penyimpanan Dropbox penyerang.

Walaupun tiada kerosakan yang telah dilakukan terhadap sasaran dalam Operasi BugDrop, CyberX menunjukkan bahawa 'mengenal pasti, mencari dan menunaikan peninjauan pada sasaran biasanya merupakan fasa operasi pertama dengan objektif yang lebih luas.'

Sebaik sahaja butiran ini dikumpulkan dan dimuat naik ke akaun Dropbox penyerang, ia dimuat turun di hujung yang lain dan dipadamkan dari awan - tidak meninggalkan jejak maklumat transacting.

Dapatkan wawasan mendalam tentang hack di laporan CyberX di sini.

Bagaimana Melindungi Terhadap Serangan Ini?

Walaupun cara paling mudah untuk melindungi anda daripada serangan makro virus tidak mematikan tetapan lalai Microsoft Office untuk arahan Macro dan tidak memberi kepada permintaan dengan arahan (seperti dibincangkan di atas).

Sekiranya terdapat keperluan untuk membolehkan tetapan makro, pastikan dokumen Word berasal dari sumber yang dipercayai - seseorang atau organisasi.

Di peringkat organisasi, untuk mempertahankan serangan tersebut, sistem harus digunakan untuk mengesan anomali dalam rangkaian IT dan OT mereka pada peringkat awal. Syarikat juga boleh membayangkan algoritma analisis tingkah laku yang membantu mengesan aktiviti yang tidak dibenarkan dalam rangkaian.

Pelan tindakan untuk mempertahankan terhadap virus tersebut haruslah dilakukan juga - untuk mengelakkan bahaya dan mengelakkan kehilangan data sensitif jika serangan dijalankan.

Laporan itu menyimpulkan bahawa walaupun tidak ada bukti keras bahawa penggodam disewa oleh agensi kerajaan.

Tetapi memandangkan kecanggihan serangan itu, tidak ada keraguan bahawa penggodam memerlukan kakitangan yang penting untuk melalui data dicuri serta ruang penyimpanan untuk semua data yang dikumpulkan - menunjukkan bahawa mereka sama ada kaya atau menerima sokongan kewangan dari kerajaan atau institusi bukan kerajaan.

Walaupun majoriti serangan ini dijalankan di Ukraine, ia adalah selamat untuk mengatakan bahawa serangan ini boleh dilakukan di mana-mana negara bergantung kepada kepentingan yang digodam oleh penggodam atau orang yang menyewa mereka untuk mendapatkan akses kepada data yang sensitif.