Veri çalmak için bilgisayar mikrofonlarını kullanan bilgisayar korsanlarına karşı koruma

Sofistike taktikler, teknikler ve prosedürlerle geniş çaplı hackleme, günün seçimleridir - ABD seçimleri sırasında iddia edilen Rus hacklerine ilişkin raporlarda da görüldüğü gibi - ve şimdi hackerlar PC'leri kurumsal hale getirmek için yerleşik PC mikrofonlarını kullanıyor ve kişisel veri dosyaları.

'BugDrop Operasyonu' olarak vaftiz edilen saldırının arkasındaki bilgisayar korsanları, Ukrayna'daki yaklaşık 70 kurum ve kişiden gelen gigabayt hassas veri puanlarını güvence altına aldı.

Bunlar arasında, Rusya, Suudi Arabistan, Ukrayna ve Avusturya’da çeşitli Ukraynalı gazetelerin editörleri, bir bilimsel araştırma enstitüsü, insan haklarının izlenmesi, terörle mücadele, siber saldırılar, petrol, gaz ve su temini ile ilgili kuruluşlar yer alıyor.

Siber güvenlik firması CyberX'in verdiği bir rapora göre, "operasyon, konuşmaların ses kayıtları, ekran görüntüleri, belgeler ve şifreler de dahil olmak üzere hedeflerinden bir dizi hassas bilgi almaya çalışıyor."

Bilgisayar korsanları mikrofonları hedef verilere erişmenin bir yolu olarak kullanmaya başlamıştır, çünkü video kayıtlarını web kamerasına bir bant yerleştirerek engellemek kolaydır, sisteminizin mikrofonunu devre dışı bırakmak donanımı fiziksel olarak çıkarmanızı gerektirir.

Bu saldırıların birçoğu kendi ilan ettiği ayrılıkçı Donetsk ve Luhansk eyaletlerinde yapıldı - bu saldırılarda hükümetin etkisi olduğunu, özellikle de bu iki devletin Ukrayna hükümeti tarafından terörist kıyafetler olarak sınıflandırılmasından bu yana.

Bilgisayar korsanları veri hırsızlığı için Dropbox'ı kullanıyor, çünkü bulut hizmetinin trafiği genellikle şirket güvenlik duvarları tarafından engelleniyor ve içinden geçen trafik de izlenmiyor.

“BugDrop Operasyonu, kurbanlarını, hedeflenen e-posta phishing saldırıları ve Microsoft Office eklerine gömülü kötü amaçlı makrolar kullanarak etkiliyor. Ayrıca, kullanıcıları, henüz etkinleştirilmemişlerse makroları etkinleştirmek için kandırmak için akıllı bir sosyal mühendislik kullanıyor ”diyor.

Makro virüs saldırısının nasıl çalıştığına bir örnek

Olayı ele alan CyberX, Makro virüsüyle yüklenen ve genellikle piyasadaki antivirüs yazılımının yüzde 90'ından fazlası tarafından tespit edilmeyen bu kötü amaçlı Word belgesini buldu.

Makrolara kadar - kısaca: bilgisayar kodları bit - bilgisayarınızda etkindir, program otomatik olarak çalışır ve PC'nizdeki kodları kötü amaçlı kodlarla değiştirir.

Hedef bilgisayarda makrolar devre dışı bırakılırsa, - varsayılan olarak bir Word belgesindeki tüm makro kodlarını devre dışı bırakan bir Microsoft güvenlik özelliği - kötü niyetli Word belgesi, yukarıdaki resimde gösterildiği gibi bir iletişim kutusu açar.

Yukarıdaki resimdeki metin okuyor: “Dikkat! Dosya, Microsoft Office programlarının daha yeni bir sürümünde oluşturuldu. Bir belgenin içeriğini doğru görüntülemek için makroları etkinleştirmelisiniz. ”

Kullanıcı komutu etkinleştirir etkinleştirmez, kötü amaçlı makro kodları PC'nizdeki kodları değiştirir, sistemdeki diğer dosyalara bulaşır ve saldırgana, erişim noktasında olduğu gibi uzaktan erişim sağlar.

Hackerlar Tarafından Nasıl ve Ne Bilgi Toplandı?

Hackerlar, bu durumda, hedef cihazlara uzaktan erişim sağladıktan sonra verileri çalmak için bir dizi eklenti kullandı.

Eklentiler, dosya uzantılarının çoğunu arayan ve onları Dropbox'a yükleyen dosya toplayıcı içeriyordu; Virüslü cihazdaki bağlı bir USB sürücüdeki dosyaları bulan ve depolayan USB dosya toplayıcısı.

Bu dosya toplayıcıları dışında, oturum açma kimlik bilgilerini ve tarayıcıda depolanan diğer hassas verileri çalan tarayıcı veri toplama eklentisi, saldırganın IP adresini, sahibinin adını ve adresini içeren bilgisayar verilerini toplamak için bir eklenti ve daha fazlası kullanılmıştır.

Tüm bunlara ek olarak, kötü amaçlı yazılımcı, bilgisayar korsanlarına, hedef cihazın mikrofonuna erişim sağladı; bu da ses kayıtlarını mümkün kılıyor - saldırganın Dropbox deposunda algılanmak üzere saklanıyor.

BugDrop Operasyonu'ndaki hedeflere herhangi bir zarar gelmemiş olsa da, CyberX, 'hedeflerde keşif tespitinin yapılması, keşfedilmesi ve gerçekleştirilmesinin genellikle daha geniş hedefleri olan operasyonların ilk aşaması' olduğuna işaret ediyor.

Bu detaylar toplanıp saldırganın Dropbox hesabına yüklendikten sonra, diğer ucundan indirilir ve buluttan silinir - işlem bilgilerini izlemez.

Buradaki CyberX'in raporunda yer alan saldırı hakkında derinlemesine bilgi edinin.

Bu tür saldırılara karşı nasıl korunabilirim?

Sizi makro virüs saldırılarından korumanın en basit yolu, Microsoft Office'in Makro komutları için varsayılan ayarını kapatmamak ve istekleri yerine getirerek istekte bulunmamaktır (yukarıda tartışıldığı gibi).

Makro ayarlarını etkinleştirmek için büyük bir zorunluluk varsa, Word belgesinin güvenilir bir kaynaktan (bir kişi veya kuruluş) geldiğinden emin olun.

Örgütsel düzeyde, bu tür saldırılara karşı savunmak için, BT ve OT ağlarındaki anomalileri erken aşamada tespit edebilen sistemler kullanılmalıdır. Şirketler ayrıca ağdaki yetkisiz faaliyetleri tespit etmeye yardımcı olan davranışsal analitik algoritmalarını da ifade edebilir.

Bu tür virüse karşı savunmak için bir eylem planı da uygulanmalıdır - bir saldırı yapılırsa tehlikeyi önlemek ve hassas verilerin kaybolmasını önlemek için.

Rapor, bilgisayar korsanlarının bir devlet kurumu tarafından işe alındığına dair kesin bir kanıt bulunmadığı sonucuna vardı.

Ancak, saldırının karmaşıklığı göz önüne alındığında, bilgisayar korsanlarının çalınan verilerden ve aynı zamanda toplanan tüm veriler için saklama alanından geçmek için kayda değer bir personele ihtiyaç duyduğuna dair hiçbir şüphe yoktur; hükümet dışı kurum.

Bu saldırıların çoğu Ukrayna'da gerçekleştirilirken, bu saldırıların, bilgisayar korsanlarının çıkarlarına veya hassas verilere erişmek için onları işe alan kişilerin çıkarlarına bağlı olarak herhangi bir ülkede yapılabileceğini söylemek güvenlidir.