Beskyt mod hackere, der bruger pc-mikrofoner til at stjæle data

Storskala hacking med sofistikerede taktikker, teknikker og procedurer er dagens orden - som det også blev vidne til i rapporter om det påståede russiske hack under det amerikanske valg - og nu bruger hackere indbyggede pc-mikrofoner til at hacke sig vej ind i virksomheden og personlige datafiler.

Døbt som 'Operation BugDrop' har hackerne bag angrebet sikret en række gigabyte følsomme data fra omkring 70 organisationer og enkeltpersoner i Ukraine.

Disse inkluderer redaktører af adskillige ukrainske aviser, et videnskabeligt forskningsinstitut, organisationer, der er forbundet med overvågning af menneskerettighederne, terrorbekæmpelse, cyberangreb, olie, gas og vandforsyning - i Rusland, Saudi-Arabien, Ukraine og Østrig.

I henhold til en rapport fra cybersikkerhedsfirmaet CyberX "søger operationen at fange en række følsomme oplysninger fra dens mål, herunder lydoptagelser af samtaler, skærmbilleder, dokumenter og adgangskoder."

Hackere er begyndt at bruge mikrofoner som en måde at få adgang til måldata på, for selv om det er let at blokere videooptagelser ved blot at placere et bånd over webcam, kræver det, at du deaktiverer dit systems mikrofon, at du tager stikket ud af stikket til hardwaren.

En masse af disse hacks blev udført i selverklærede separatistiske stater Donetsk og Luhansk - hvilket indikerer en regeringsindflydelse i disse angreb, især da disse to stater er blevet klassificeret som terrorudstyr af den ukrainske regering.

Hackerne bruger Dropbox til datatyveri, da skyetjenestens trafik typisk forbliver ublokeret af firmagewalls, og trafikken, der flyder gennem den, overvåges ikke så godt.

”Operation BugDrop inficerer sine ofre ved hjælp af målrettede e-mail-phishing-angreb og ondsindede makroer, der er integreret i Microsoft Office-vedhæftede filer. Det bruger også smart social engineering til at narre brugerne til at aktivere makroer, hvis de ikke allerede er aktiveret, ”udtaler CyberX.

Et eksempel på, hvordan makrovirusangreb fungerer

I lyset af sagen fandt CyberX ud af dette ondsindede Word-dokument, der blev fyldt med makrovirus, som normalt ikke opdages af mere end 90 procent af antivirus-softwaren på markedet.

Indtil makroer - kort: bit af computerkoder - er aktiveret på din pc, kører programmet automatisk og erstatter koder på din pc med ondsindede koder.

I tilfælde af, at makroer er deaktiveret på mål-pc'en - en Microsoft-sikkerhedsfunktion, der som standard deaktiverer alle makrokoder på et Word-dokument - åbner det ondsindede Word-dokument en dialogboks som afbildet på billedet ovenfor.

Teksten på billedet ovenfor lyder: ”OBS! Filen blev oprettet i en nyere version af Microsoft Office-programmer. Du skal aktivere makroer for korrekt visning af indholdet i et dokument. ”

Så snart en bruger aktiverer kommandoen, erstatter ondsindede makrokoder koder på din pc, inficerer andre filer på systemet og giver fjernadgang til angriberen - som det kan ses i det aktuelle tilfælde.

Hvordan og hvilke oplysninger blev indsamlet af hackere

Hackere anvendte i dette tilfælde en række plugins til at stjæle data efter at have fået fjernadgang til målenhederne.

Plugins inkluderede filopsamler, der ser efter mangfoldigheder af filtypenavne og uploader dem til Dropbox; USB-filsamler, som lokaliserer og gemmer filer fra et tilsluttet USB-drev på den inficerede enhed.

Bortset fra disse filsamlere, blev browserdataindsamling af plugin, der stjæler loginoplysninger og andre følsomme data, der er gemt i browseren, et plugin til indsamling af computerdata inklusive IP-adresse, navn og adresse på ejeren og mere brugt i angrebet.

Ud over alt dette gav malware også hackere adgang til målenhedens mikrofon, der muliggør lydoptagelser - gemt til gennemlæsning i Dropbox-lagring af angriberen.

Selvom der ikke er gjort nogen skade på målene i Operation BugDrop, påpeger CyberX, at 'identificering, lokalisering og udførelse af rekognosering på mål normalt er den første fase af operationer med bredere mål.'

Når disse detaljer er samlet og uploadet til angriberens Dropbox-konto, downloades de i den anden ende og slettes fra skyen - hvilket ikke efterlader spor af de transaktionsoplysninger.

Få en indgående indsigt om hacket i CyberXs rapport her.

Sådan sikres mod sådanne angreb?

Mens den mest enkle måde at beskytte dig mod makrovirusangreb ikke er at deaktivere Microsoft Office's standardindstilling for makrokommandoer og ikke give efter for anmodninger fra promp (som beskrevet ovenfor).

Hvis der er et stort behov for at aktivere makroindstillinger, skal du sikre dig, at Word-dokumentet kommer fra en betroet kilde - en person eller en organisation.

For at forsvare sig mod sådanne angreb bør der på organisatorisk plan bruges systemer, der kan opdage uregelmæssigheder i deres IT- og OT-netværk på et tidligt tidspunkt. Virksomheder kan også antyde adfærdsanalysealgoritmer, der hjælper med at registrere uautoriserede aktiviteter i netværket.

En handlingsplan for at forsvare mod en sådan virus bør også være på plads - for at afværge faren og undgå at miste følsomme data, hvis et angreb udføres.

Rapporten konkluderede, at selvom der ikke er noget hårdt bevis for, at hackerne blev ansat af et regeringsorgan.

Men i betragtning af angrebets sofistikerede er der ingen tvivl om, at hackerne havde brug for et betydeligt personale til at gennemgå de stjålne data såvel som lagerplads til alle de indsamlede data - hvilket indikerer, at de enten var meget rige eller fik økonomisk støtte fra en regering eller ikke-statslig institution.

Mens et flertal af disse angreb blev udført i Ukraine, er det sikkert at sige, at disse angreb kan udføres i ethvert land afhængigt af hackernes interesser eller de mennesker, der ansætter dem for at få adgang til følsomme data.