Bảo vệ chống lại tin tặc sử dụng micro máy tính để đánh cắp dữ liệu

Việc hack quy mô lớn với các chiến thuật, kỹ thuật và thủ tục tinh vi là thứ tự ngày nay - như đã được chứng kiến ​​trong các báo cáo về vụ hack Nga bị cáo buộc trong cuộc bầu cử ở Mỹ - và hiện các tin tặc đang sử dụng micro PC tích hợp để xâm nhập vào công ty và các tệp dữ liệu cá nhân.

Được đặt tên là 'Chiến dịch BugDrop', các tin tặc đứng sau vụ tấn công đã bảo mật số lượng gigabyte dữ liệu nhạy cảm từ khoảng 70 tổ chức và cá nhân ở Ukraine.

Những người này bao gồm các biên tập viên của một số tờ báo tiếng Ukraina, một viện nghiên cứu khoa học, các tổ chức có liên quan đến giám sát nhân quyền, chống khủng bố, tấn công mạng, cung cấp dầu, khí đốt và nước - ở Nga, Ả Rập Saudi, Ukraine và Áo.

Theo báo cáo của công ty bảo mật mạng CyberX, thì hoạt động này tìm cách thu thập một loạt thông tin nhạy cảm từ các mục tiêu của nó, bao gồm các bản ghi âm cuộc hội thoại, ảnh chụp màn hình, tài liệu và mật khẩu.

Tin tặc đã bắt đầu sử dụng micrô như một cách truy cập dữ liệu mục tiêu bởi vì, trong khi thật dễ dàng để chặn các bản ghi video bằng cách chỉ cần đặt một cuộn băng qua webcam, vô hiệu hóa micrô của hệ thống yêu cầu bạn phải rút phần cứng vật lý.

Rất nhiều vụ hack này đã được tiến hành tại các quốc gia ly khai tự xưng là Donetsk và Luhansk - cho thấy ảnh hưởng của chính phủ trong các cuộc tấn công này, đặc biệt là khi hai quốc gia này đã bị chính phủ Ukraine xếp vào loại trang phục khủng bố.

Các tin tặc sử dụng Dropbox để đánh cắp dữ liệu vì lưu lượng của dịch vụ đám mây thường không bị chặn bởi tường lửa của công ty và lưu lượng truy cập chảy qua nó cũng không được giám sát.

Chiến dịch BugDrop lây nhiễm nạn nhân của nó bằng cách sử dụng các cuộc tấn công lừa đảo qua email được nhắm mục tiêu và các macro độc hại được nhúng trong tệp đính kèm của Microsoft Office. Nó cũng sử dụng kỹ thuật xã hội thông minh để lừa người dùng kích hoạt macro nếu họ chưa kích hoạt, các trạng thái Cyber ​​CyberX.

Một ví dụ về cách thức hoạt động của Virus Macro

Lấy điểm này, CyberX đã phát hiện ra tài liệu Word độc hại này chứa virus Macro, thường không bị phát hiện bởi hơn 90% phần mềm chống vi-rút trên thị trường.

Cho đến khi macro - một cách ngắn gọn: các bit mã máy tính - được bật trên PC của bạn, chương trình sẽ tự động chạy và thay thế mã trong PC của bạn bằng mã độc.

Trong trường hợp, macro bị vô hiệu hóa trên PC đích, - một tính năng bảo mật của Microsoft theo mặc định sẽ vô hiệu hóa tất cả các mã macro trên tài liệu Word - tài liệu Word độc hại sẽ mở ra một hộp thoại như mô tả trong hình trên.

Các văn bản trên hình ảnh trên có nội dung: Chú ý! Tệp được tạo trong phiên bản mới hơn của các chương trình Microsoft Office. Bạn phải bật macro để hiển thị chính xác nội dung của tài liệu.

Ngay khi người dùng kích hoạt lệnh, mã macro độc hại sẽ thay thế mã trên PC của bạn, lây nhiễm các tệp khác trên hệ thống và cấp quyền truy cập từ xa cho kẻ tấn công - như đã thấy trong trường hợp cụ thể.

Làm thế nào và thông tin nào được thu thập bởi tin tặc

Tin tặc, trong trường hợp này, đã sử dụng một loạt các plugin để đánh cắp dữ liệu sau khi có quyền truy cập từ xa vào các thiết bị đích.

Các plugin bao gồm trình thu thập tệp, tìm kiếm nhiều phần mở rộng tệp và tải chúng lên Dropbox; Trình thu thập tệp USB, định vị và lưu trữ tệp từ ổ USB được gắn trên thiết bị bị nhiễm.

Khác với những người thu thập tệp này, plugin thu thập dữ liệu trình duyệt ăn cắp thông tin đăng nhập và dữ liệu nhạy cảm khác được lưu trong trình duyệt, một plugin để thu thập dữ liệu máy tính bao gồm địa chỉ IP, tên và địa chỉ của chủ sở hữu và nhiều thứ khác được sử dụng trong cuộc tấn công.

Ngoài tất cả những điều này, phần mềm độc hại cũng cung cấp cho tin tặc quyền truy cập vào micrô của thiết bị đích, cho phép ghi âm thanh - được lưu để truy cập vào bộ lưu trữ Dropbox của kẻ tấn công.

Mặc dù không có thiệt hại nào đối với các mục tiêu trong Chiến dịch BugDrop, CyberX chỉ ra rằng 'xác định, định vị và thực hiện trinh sát trên các mục tiêu thường là giai đoạn đầu của các hoạt động với mục tiêu rộng hơn.'

Khi các chi tiết này được thu thập và tải lên tài khoản Dropbox của kẻ tấn công, nó sẽ được tải xuống ở đầu bên kia và bị xóa khỏi đám mây - không để lại dấu vết của thông tin giao dịch.

Hiểu sâu hơn về vụ hack trong báo cáo của CyberX tại đây.

Làm thế nào để bảo vệ chống lại các cuộc tấn công như vậy?

Mặc dù cách đơn giản nhất để bảo vệ bạn khỏi các cuộc tấn công của vi-rút macro là không tắt cài đặt mặc định của Microsoft Office cho các lệnh Macro và không đưa ra yêu cầu bằng lời nhắc (như đã thảo luận ở trên).

Nếu có nhu cầu lớn để kích hoạt cài đặt macro, hãy đảm bảo rằng tài liệu Word đến từ một nguồn đáng tin cậy - một người hoặc một tổ chức.

Ở cấp độ tổ chức, để bảo vệ chống lại các cuộc tấn công như vậy, các hệ thống nên được sử dụng để có thể phát hiện sự bất thường trong mạng CNTT và OT của họ ở giai đoạn đầu. Các công ty cũng có thể ngụ ý các thuật toán phân tích hành vi giúp phát hiện các hoạt động trái phép trong mạng.

Một kế hoạch hành động để chống lại virus như vậy cũng nên được thực hiện - để tránh nguy hiểm và tránh mất dữ liệu nhạy cảm nếu một cuộc tấn công được thực hiện.

Báo cáo kết luận rằng trong khi không có bằng chứng cứng nào cho thấy tin tặc được thuê bởi một cơ quan chính phủ.

Nhưng với sự tinh vi của cuộc tấn công, không còn nghi ngờ gì nữa, tin tặc cần một nhân viên quan trọng để đi qua dữ liệu bị đánh cắp cũng như không gian lưu trữ cho tất cả dữ liệu được thu thập - cho thấy họ rất giàu hoặc nhận được sự hỗ trợ tài chính từ chính phủ hoặc tổ chức phi chính phủ.

Mặc dù phần lớn các cuộc tấn công này được thực hiện ở Ukraine, nhưng có thể an toàn khi nói rằng các cuộc tấn công này có thể được tiến hành ở bất kỳ quốc gia nào tùy thuộc vào quyền lợi của tin tặc hoặc người thuê chúng để có quyền truy cập vào dữ liệu nhạy cảm.