Proteggiti dagli hacker utilizzando i microfoni per PC per rubare i dati

L'hacking su larga scala con tattiche, tecniche e procedure sofisticate è all'ordine del giorno - come è stato anche testimoniato dai rapporti sul presunto hack russo durante le elezioni statunitensi - e ora gli hacker stanno usando microfoni per PC integrati per entrare nel mondo degli affari e file di dati personali.

Battezzati come "Operazione BugDrop", gli hacker dietro l'attacco hanno ottenuto decine di gigabyte di dati sensibili da circa 70 organizzazioni e individui in Ucraina.

Questi includono redattori di numerosi giornali ucraini, un istituto di ricerca scientifica, organizzazioni associate al monitoraggio dei diritti umani, antiterrorismo, attacchi informatici, approvvigionamento di petrolio, gas e acqua - in Russia, Arabia Saudita, Ucraina e Austria.

Secondo un rapporto della società di sicurezza informatica CyberX, "l'operazione mira a catturare una serie di informazioni sensibili dai suoi obiettivi, tra cui registrazioni audio di conversazioni, schermate, documenti e password".

Gli hacker hanno iniziato a utilizzare i microfoni come un modo per accedere ai dati di destinazione perché, mentre è facile bloccare le registrazioni video semplicemente posizionando un nastro sulla webcam, disabilitare il microfono del sistema richiede di scollegare fisicamente l'hardware.

Molti di questi attacchi sono stati condotti in stati auto-dichiarati separatisti di Donetsk e Luhansk - indicando un'influenza del governo in questi attacchi, specialmente da quando questi due stati sono stati classificati come capi terroristici dal governo ucraino.

Gli hacker usano Dropbox per il furto di dati poiché il traffico del servizio cloud in genere rimane sbloccato dai firewall aziendali e anche il traffico che lo attraversa non viene monitorato.

"L'operazione BugDrop infetta le sue vittime utilizzando attacchi mirati di phishing e-mail e macro dannose incorporati negli allegati di Microsoft Office. Utilizza inoltre un ingegnoso social engineering per indurre gli utenti a abilitare le macro se non sono già abilitate ”, afferma CyberX.

Un esempio di come funziona l'attacco di virus macro

Prendendo in considerazione il caso, CyberX ha scoperto questo documento Word dannoso che è stato caricato con il virus Macro, che di solito non viene rilevato da oltre il 90 percento del software antivirus sul mercato.

Fino a quando le macro - brevemente: bit di codici di computer - sono abilitate sul tuo PC, il programma si avvia automaticamente e sostituisce i codici nel tuo PC con codici dannosi.

Nel caso in cui le macro siano disabilitate sul PC di destinazione, - una funzionalità di sicurezza di Microsoft che disabilita di default tutti i codici macro su un documento Word - il documento Word dannoso apre una finestra di dialogo come mostrato nell'immagine sopra.

Il testo sull'immagine sopra recita: “Attenzione! Il file è stato creato in una versione più recente dei programmi di Microsoft Office. È necessario abilitare le macro per visualizzare correttamente il contenuto di un documento."

Non appena un utente abilita il comando, i codici macro dannosi sostituiscono i codici sul PC, infettano altri file sul sistema e danno accesso remoto all'attaccante, come si vede nel caso in questione.

Come e quali informazioni sono state raccolte dagli hacker

Gli hacker, in questo caso, hanno utilizzato una serie di plug-in per rubare i dati dopo aver ottenuto l'accesso remoto ai dispositivi di destinazione.

I plugin includevano il raccoglitore di file, che cerca una moltitudine di estensioni di file e le carica su Dropbox; Raccoglitore di file USB, che individua e archivia i file da un'unità USB collegata sul dispositivo infetto.

Oltre a questi raccoglitori di file, nell'attacco sono stati utilizzati plug-in per la raccolta dei dati del browser che ruba le credenziali di accesso e altri dati sensibili memorizzati nel browser, un plug-in per raccogliere i dati del computer tra cui indirizzo IP, nome e indirizzo del proprietario e altro ancora.

Oltre a tutto ciò, il malware ha anche consentito agli hacker di accedere al microfono del dispositivo di destinazione, il che abilita le registrazioni audio, salvate per esplorazione nella memoria Dropbox dell'attaccante.

Sebbene non siano stati arrecati danni agli obiettivi nell'operazione BugDrop, CyberX sottolinea che "identificare, localizzare ed eseguire la ricognizione sugli obiettivi è di solito la prima fase delle operazioni con obiettivi più ampi".

Una volta raccolti e caricati sull'account Dropbox dell'aggressore, questi dettagli vengono scaricati dall'altra parte ed eliminati dal cloud, senza lasciare traccia delle informazioni di transazione.

Ottieni informazioni dettagliate sull'hacking nel rapporto di CyberX qui.

Come proteggersi da tali attacchi?

Mentre il modo più semplice per proteggerti dagli attacchi di virus macro non è disattivare l'impostazione predefinita di Microsoft Office per i comandi Macro e non cedere alle richieste di prompt (come discusso sopra).

Se è assolutamente necessario abilitare le impostazioni macro, assicurarsi che il documento di Word provenga da una fonte attendibile, una persona o un'organizzazione.

A livello organizzativo, per difendersi da tali attacchi, è necessario mettere in atto sistemi in grado di rilevare tempestivamente anomalie nelle reti IT e OT. Le aziende possono anche implicare algoritmi di analisi comportamentale che aiutano a rilevare attività non autorizzate nella rete.

Dovrebbe essere messo in atto anche un piano d'azione per difendersi da tale virus, al fine di evitare il pericolo ed evitare la perdita di dati sensibili in caso di attacco.

Il rapporto ha concluso che mentre non vi è alcuna prova concreta che gli hacker siano stati assunti da un'agenzia governativa.

Ma data la raffinatezza dell'attacco, non vi è dubbio che gli hacker avevano bisogno di uno staff significativo per esaminare i dati rubati e lo spazio di archiviazione per tutti i dati raccolti, indicando che erano molto ricchi o che avevano ricevuto un sostegno finanziario da un governo o istituzione non governativa.

Mentre la maggior parte di questi attacchi è stata condotta in Ucraina, è sicuro affermare che questi attacchi possono essere condotti in qualsiasi paese a seconda degli interessi acquisiti degli hacker o delle persone che li assumono per ottenere l'accesso a dati sensibili.