ปกป้องแฮ็กเกอร์ที่ใช้ไมโครโฟนสำหรับพีซีเพื่อขโมยข้อมูล

การแฮ็คขนาดใหญ่ที่มีกลวิธีเทคนิคและขั้นตอนที่ซับซ้อนเป็นคำสั่งของวัน - ดังที่ได้เห็นในรายงานเกี่ยวกับการแฮ็ครัสเซียที่ถูกกล่าวหาในระหว่างการเลือกตั้งสหรัฐ - และตอนนี้แฮ็คเกอร์กำลังใช้ไมโครโฟนในตัวพีซี และไฟล์ข้อมูลส่วนบุคคล

เคยถูกตั้งชื่อว่า 'Operation BugDrop' แฮกเกอร์ที่อยู่เบื้องหลังการโจมตีนั้นได้รับคะแนนข้อมูลที่ละเอียดอ่อนจากกิกะไบต์ประมาณ 70 องค์กรและบุคคลในยูเครน

เหล่านี้รวมถึงบรรณาธิการของหนังสือพิมพ์ Ukranian หลายแห่งสถาบันวิจัยทางวิทยาศาสตร์องค์กรที่เกี่ยวข้องกับการตรวจสอบสิทธิมนุษยชนการต่อต้านการก่อการร้ายการโจมตีทางไซเบอร์น้ำมันก๊าซและน้ำประปาในรัสเซียซาอุดีอาระเบียยูเครนและออสเตรีย

จากรายงานของ บริษัท รักษาความปลอดภัยไซเบอร์ CyberX ระบุว่า“ การดำเนินการพยายามที่จะรวบรวมข้อมูลที่มีความละเอียดอ่อนจากเป้าหมายรวมถึงการบันทึกเสียงการสนทนาภาพหน้าจอเอกสารและรหัสผ่าน”

แฮกเกอร์เริ่มใช้ไมโครโฟนเป็นวิธีการเข้าถึงข้อมูลเป้าหมายเพราะในขณะที่การบล็อกการบันทึกวิดีโอทำได้ง่าย ๆ เพียงวางเทปไว้บนเว็บแคมการปิดใช้งานไมโครโฟนของระบบของคุณทำให้คุณต้องถอดปลั๊กฮาร์ดแวร์ออก

มีการแฮ็กจำนวนมากในรัฐแบ่งแยกดินแดนที่ประกาศตัวเองของโดเนตสค์และ Luhansk ซึ่งบ่งบอกถึงอิทธิพลของรัฐบาลในการโจมตีเหล่านี้โดยเฉพาะอย่างยิ่งเมื่อทั้งสองรัฐได้รับการจัดประเภทเป็นชุดก่อการร้ายโดยรัฐบาลยูเครน

แฮกเกอร์ใช้ Dropbox เพื่อขโมยข้อมูลเนื่องจากปริมาณการใช้งานของบริการคลาวด์ยังคงไม่ถูกบล็อกโดยไฟร์วอลล์ขององค์กรและปริมาณการใช้ข้อมูลที่ไหลผ่านจะไม่ถูกตรวจสอบด้วย

“ Operation BugDrop ติดเชื้อเหยื่อโดยใช้การโจมตีแบบฟิชชิ่งอีเมล์เป้าหมายและมาโครที่เป็นอันตรายซึ่งฝังอยู่ในไฟล์แนบของ Microsoft Office นอกจากนี้ยังใช้วิศวกรรมทางสังคมที่ชาญฉลาดเพื่อหลอกลวงผู้ใช้ให้เปิดใช้งานแมโครหากไม่ได้เปิดใช้งานอยู่” CyberX กล่าว

ตัวอย่างการทำงานของการโจมตีด้วยไวรัสมาโคร

CyberX ได้ค้นพบเอกสาร Word ที่เป็นอันตรายซึ่งเต็มไปด้วยไวรัสมาโครซึ่งมักจะตรวจไม่พบมากกว่า 90% ของซอฟต์แวร์ป้องกันไวรัสในตลาด

จนกระทั่งมาโคร - สั้น ๆ: บิตของรหัสคอมพิวเตอร์ - เปิดใช้งานบนพีซีของคุณโปรแกรมจะทำงานโดยอัตโนมัติและแทนที่รหัสในพีซีของคุณด้วยรหัสที่เป็นอันตราย

ในกรณีที่แมโครถูกปิดการใช้งานบนพีซีเป้าหมาย - คุณลักษณะด้านความปลอดภัยของ Microsoft ซึ่งโดยค่าเริ่มต้นจะปิดการใช้งานรหัสแมโครทั้งหมดในเอกสาร Word - เอกสาร Word ที่เป็นอันตรายจะเปิดกล่องโต้ตอบตามภาพด้านบน

ข้อความบนภาพด้านบนอ่านว่า: "โปรดระวัง! ไฟล์ถูกสร้างในโปรแกรม Microsoft Office เวอร์ชันที่ใหม่กว่า คุณต้องเปิดใช้งานแมโครเพื่อแสดงเนื้อหาของเอกสารอย่างถูกต้อง”

ทันทีที่ผู้ใช้เปิดใช้งานคำสั่งรหัสมาโครที่เป็นอันตรายจะแทนที่รหัสในพีซีของคุณติดไฟล์อื่น ๆ ในระบบและให้การเข้าถึงจากระยะไกลแก่ผู้โจมตี - ดังที่เห็นในกรณีตรงประเด็น

แฮกเกอร์รวบรวมข้อมูลอย่างไรและอะไร

ในกรณีนี้แฮกเกอร์ใช้อาร์เรย์ของปลั๊กอินเพื่อขโมยข้อมูลหลังจากเข้าถึงระยะไกลไปยังอุปกรณ์เป้าหมาย

ปลั๊กอินมีตัวรวบรวมไฟล์ซึ่งจะมองหานามสกุลไฟล์ที่หลากหลายและอัปโหลดไปยัง Dropbox; ตัวรวบรวมไฟล์ USB ซึ่งค้นหาและจัดเก็บไฟล์จากไดรฟ์ USB ที่เชื่อมต่ออยู่บนอุปกรณ์ที่ติดไวรัส

นอกเหนือจากตัวรวบรวมไฟล์เหล่านี้ปลั๊กอินรวบรวมข้อมูลของเบราว์เซอร์ซึ่งขโมยข้อมูลการลงชื่อเข้าใช้และข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่เก็บไว้ในเบราว์เซอร์ปลั๊กอินสำหรับรวบรวมข้อมูลคอมพิวเตอร์รวมถึงที่อยู่ IP ชื่อและที่อยู่ของเจ้าของและอื่น ๆ

นอกจากนี้มัลแวร์ยังให้แฮกเกอร์เข้าถึงไมโครโฟนของอุปกรณ์เป้าหมายซึ่งช่วยให้สามารถบันทึกเสียงได้ - บันทึกไว้เพื่อการตรวจสอบในที่จัดเก็บข้อมูล Dropbox ของผู้โจมตี

ในขณะที่ไม่มีความเสียหายเกิดขึ้นกับเป้าหมายใน Operation BugDrop, CyberX ชี้ให้เห็นว่า 'การระบุตำแหน่งและทำการลาดตระเวนบนเป้าหมายมักจะเป็นระยะแรกของการดำเนินการโดยมีวัตถุประสงค์ที่กว้างขึ้น'

เมื่อรวบรวมและอัปโหลดรายละเอียดเหล่านี้ไปยังบัญชี Dropbox ของผู้โจมตีแล้วมันจะถูกดาวน์โหลดที่ส่วนอื่น ๆ และลบออกจากคลาวด์โดยไม่ทิ้งร่องรอยของข้อมูลการทำธุรกรรม

รับข้อมูลเชิงลึกเกี่ยวกับการแฮ็คในรายงานของ CyberX ที่นี่

จะป้องกันการโจมตีดังกล่าวได้อย่างไร

ในขณะที่วิธีที่ง่ายที่สุดในการปกป้องคุณจากการโจมตีของไวรัสมาโครนั้นไม่ได้เป็นการปิดการตั้งค่าเริ่มต้นของ Microsoft Office สำหรับคำสั่งของแมโครและไม่ให้การร้องขอโดยพร้อมท์

หากมีความจำเป็นอย่างยิ่งในการเปิดใช้งานการตั้งค่ามาโครตรวจสอบให้แน่ใจว่าเอกสาร Word มาจากแหล่งที่เชื่อถือได้ - บุคคลหรือองค์กร

ในระดับองค์กรเพื่อป้องกันการโจมตีระบบควรใช้งานซึ่งสามารถตรวจจับความผิดปกติในเครือข่ายไอทีและ OT ในระยะแรก บริษัท ต่างๆสามารถใช้อัลกอริธึมการวิเคราะห์พฤติกรรมซึ่งช่วยตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตในเครือข่าย

แผนปฏิบัติการเพื่อป้องกันไวรัสดังกล่าวควรมีอยู่ในสถานที่ด้วยเช่นกันเพื่อหลีกเลี่ยงอันตรายและหลีกเลี่ยงการสูญเสียข้อมูลที่ละเอียดอ่อนหากมีการโจมตี

รายงานสรุปว่าในขณะที่ไม่มีหลักฐานพิสูจน์ว่าแฮ็กเกอร์ถูกจ้างโดยหน่วยงานของรัฐ

แต่ด้วยความซับซ้อนของการโจมตีจึงไม่ต้องสงสัยเลยว่าแฮ็คเกอร์ต้องการเจ้าหน้าที่สำคัญในการผ่านข้อมูลที่ถูกขโมยรวมถึงพื้นที่เก็บข้อมูลสำหรับข้อมูลทั้งหมดที่เก็บรวบรวมซึ่งบ่งบอกว่าพวกเขาร่ำรวยหรือได้รับการสนับสนุนทางการเงินจากรัฐบาลหรือ สถาบันที่ไม่ใช่ภาครัฐ

แม้ว่าการโจมตีส่วนใหญ่จะดำเนินการในยูเครน แต่ก็ปลอดภัยที่จะกล่าวว่าการโจมตีเหล่านี้สามารถดำเนินการในประเทศใดก็ได้ขึ้นอยู่กับผลประโยชน์ของแฮกเกอร์หรือผู้ที่จ้างพวกเขาเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน