הגנה מפני האקרים המשתמשים במיקרופונים למחשב כדי לגנוב נתונים

פריצות רחבות היקף עם טקטיקות, טכניקות ונהלים מתוחכמים הן בסדר היום - כפי שהיה ניתן לחזות גם בדיווחים על האק הרוסי לכאורה במהלך הבחירות בארצות הברית - וכעת האקרים משתמשים במיקרופונים מחשבים מובנים כדי לפרוץ את דרכם לתאגידים וקבצי נתונים אישיים.

ההאקרים שעומדים מאחורי הפיגוע הוקמו כ"מבצע BugDrop "והביאו עשרות גיגה-בייט של נתונים רגישים מכ -70 ארגונים ואנשים פרטיים באוקראינה.

אלה כוללים עורכים של כמה עיתונים אוקראניים, מכון מחקר מדעי, ארגונים הקשורים למעקב אחר זכויות אדם, טרור נגד, פיגועי סייבר, אספקת נפט, גז ומים - ברוסיה, ערב הסעודית, אוקראינה ואוסטריה.

על פי דוח של חברת אבטחת הסייבר CyberX, "המבצע מבקש לתפוס מגוון מידע רגיש מיעדיו, כולל הקלטות שמע של שיחות, צילומי מסך, מסמכים וסיסמאות."

האקרים החלו להשתמש במיקרופונים כדרך לגישה לנתוני יעד מכיוון שלמרות שקל לחסום הקלטות וידיאו פשוט על ידי הנחת קלטת מעל מצלמת הרשת, השבתת המיקרופון של המערכת דורשת שתנתק את החומרה פיזית.

חלק גדול מהפריצות הללו נערכו במדינות בדלניות שהוכרזו עצמן דונייצק ולוהנסק - מה שמעיד על השפעה ממשלתית בהתקפות אלה, במיוחד מאז ששתי המדינות הללו סווגו כתלבושות טרור על ידי הממשלה האוקראנית.

ההאקרים משתמשים ב- Dropbox לצורך גניבת נתונים, שכן בדרך כלל התנועה של שירות הענן נותרת חסומה על ידי חומות אש של החברות התאגידיות והתנועה הזורמת דרכה אינה מפוקחת גם כן.

"מבצע BugDrop מדביק את קורבנותיו באמצעות התקפות דיוג ממוקדות של דוא"ל ומאקרו זדוני המוטמע בקבצים מצורפים של Microsoft Office. היא משתמשת גם בהנדסה חברתית חכמה כדי להערים על משתמשים בהפעלת מקרו אם הם כבר לא מופעלים, "קובע CyberX.

דוגמא כיצד פועלת התקפת וירוסים מאקרו

אם ציין את המקרה, CyberX גילתה את מסמך ה- Word הזדוני הזה שנטען בנגיף מאקרו, שלרוב למעלה מ- 90 אחוז מתוכנת האנטי-וירוס בשוק לא מתגלה.

עד שמאקרואים - בקצרה: פיסות של קודי מחשב - מופעלים במחשב האישי שלך, התוכנית מפעילה אוטומטית ומחליפה קודים במחשבך בקודים זדוניים.

במקרה, פקודות מאקרו מושבתות במחשב היעד - תכונת אבטחה של מיקרוסופט אשר כברירת מחדל מבטלת את כל קודי המאקרו במסמך Word - מסמך Word הזדוני פותח תיבת דו-שיח כמתואר בתמונה למעלה.

הטקסט בתמונה למעלה נכתב: "שימו לב! הקובץ נוצר בגירסה חדשה יותר של תוכניות Microsoft Office. עליך לאפשר מקרואים להציג נכון את תוכן המסמך."

ברגע שמשתמש מאפשר את הפקודה, קודי מאקרו זדוניים מחליפים קודים במחשב האישי שלך, מדביקים קבצים אחרים במערכת ונותנים גישה מרחוק לתוקף - כפי שניתן לראות במקרה הנדון.

כיצד ואיזה מידע נאסף על ידי האקרים

האקרים, במקרה זה, השתמשו במערך תוספים לגניבת נתונים לאחר שקיבלו גישה מרחוק למכשירי היעד.

התוספים כללו אספן קבצים, שמחפש המון תוספי קבצים ומעלה אותם ל- Dropbox; אספן קבצי USB, המאתר ומאחסן קבצים מכונן USB מחובר בהתקן הנגוע.

פרט לאספני קבצים אלה, שימשו בפיגוע תוסף לאיסוף נתוני דפדפן שגונב תעודות כניסה ונתונים רגישים אחרים המאוחסנים בדפדפן, תוסף לאיסוף נתוני מחשב כולל כתובת IP, שם וכתובת של הבעלים ועוד.

בנוסף לכל אלה, התוכנה הזדונית גם נתנה להאקרים גישה למיקרופון של מכשיר היעד, המאפשר הקלטות שמע - שנשמרו לעיון באחסון ה- Dropbox של התוקף.

אף כי לא נגרם נזק ליעדים במבצע BugDrop, CyberX מציין כי 'זיהוי, איתור וביצוע סיור ביעדים הוא בדרך כלל השלב הראשון בפעולות עם יעדים רחבים יותר.'

לאחר איסוף הפרטים הללו והעלתם לחשבון Dropbox של התוקף, הם מורידים בקצה השני ונמחקים מהענן - ולא משאירים זכר למידע המבצע.

קבל תובנה מעמיקה לגבי הפריצה בדו"ח CyberX כאן.

כיצד להגן מפני התקפות כאלה?

אמנם הדרך הפשוטה ביותר להגן עליך מפני התקפות וירוס מאקרו היא לא לבטל את הגדרת ברירת המחדל של Microsoft Office לפקודות מאקרו ולא להיכנע לבקשות על ידי הנחיות (כפי שנדונו לעיל).

אם יש צורך קשה לאפשר הגדרות מאקרו, ודא שמסמך Word מגיע ממקור מהימן - אדם או ארגון.

ברמה הארגונית, כדי להתגונן מפני התקפות כאלה, יש להשתמש במערכות שיכולות לאתר חריגות ברשתות ה- IT וה- OT שלהן בשלב מוקדם. חברות יכולות גם לרמוז אלגוריתמים של אנליטי התנהגות המסייעים באיתור פעילויות לא מורשות ברשת.

גם תוכנית פעולה להגנה מפני נגיף כזה צריכה להיות במקום - על מנת למנוע את הסכנה ולהימנע מאיבוד נתונים רגישים אם מתקפת.

הדו"ח הגיע למסקנה כי אמנם אין הוכחה קשה לכך שההאקרים שכרו על ידי סוכנות ממשלתית.

אך לאור התחכום של הפיגוע, אין ספק שההאקרים היו זקוקים לצוות משמעותי שיעבור על הנתונים הגנובים כמו גם שטח אחסון לכל הנתונים שנאספו - מה שמעיד שהם היו עשירים מאוד או קיבלו גיבוי כספי מממשלה או מוסד לא ממשלתי.

בעוד שרוב מההתקפות הללו בוצעו באוקראינה, ניתן לומר בבטחה שניתן לבצע פיגועים אלה בכל מדינה שתלוי באינטרסים המוקנים של ההאקרים או האנשים השוכרים אותם כדי לקבל גישה לנתונים רגישים.