Perlindungan terhadap peretas yang menggunakan mikrofon pc untuk mencuri data

Peretasan skala besar dengan taktik, teknik, dan prosedur canggih adalah hal yang biasa - seperti yang juga disaksikan dalam laporan tentang dugaan peretasan Rusia selama pemilihan AS - dan sekarang peretas menggunakan mikrofon PC bawaan untuk meretas jalan mereka ke perusahaan dan file data pribadi.

Dinamai sebagai 'Operation BugDrop', para peretas di balik serangan itu telah mengamankan sejumlah gigabytes data sensitif dari sekitar 70 organisasi dan individu di Ukraina.

Ini termasuk editor dari beberapa surat kabar Ukranian, lembaga penelitian ilmiah, organisasi yang terkait dengan pemantauan hak asasi manusia, anti-terorisme, serangan dunia maya, pasokan minyak, gas dan air - di Rusia, Arab Saudi, Ukraina dan Austria.

Menurut sebuah laporan oleh perusahaan keamanan cyber CyberX, "operasi berusaha untuk menangkap berbagai informasi sensitif dari targetnya termasuk rekaman audio percakapan, tangkapan layar, dokumen dan kata sandi."

Peretas sudah mulai menggunakan mikrofon sebagai cara mengakses data target karena, walaupun mudah untuk memblokir rekaman video hanya dengan menempatkan kaset di webcam, menonaktifkan mikrofon sistem Anda mengharuskan Anda mencabut perangkat keras secara fisik.

Banyak dari peretasan ini dilakukan di negara separatis Donetsk dan Luhansk yang dideklarasikan sendiri - mengindikasikan pengaruh pemerintah dalam serangan-serangan ini, terutama karena kedua negara ini telah diklasifikasikan sebagai pakaian teroris oleh pemerintah Ukrania.

Para peretas menggunakan Dropbox untuk pencurian data karena lalu lintas layanan cloud biasanya tetap tidak terblokir oleh firewall perusahaan dan lalu lintas yang melewatinya juga tidak dipantau.

“Operation BugDrop menginfeksi korbannya menggunakan serangan phising email yang ditargetkan dan makro jahat yang tertanam dalam lampiran Microsoft Office. Ini juga menggunakan rekayasa sosial pintar untuk mengelabui pengguna agar mengaktifkan makro jika mereka belum diaktifkan, ”kata CyberX.

Contoh Cara Kerja Serangan Virus Makro

Mengambil contohnya, CyberX menemukan dokumen Word berbahaya yang dimuat dengan virus Makro, yang biasanya tidak terdeteksi oleh lebih dari 90 persen perangkat lunak anti-virus di pasar.

Sampai makro - secara singkat: bit kode komputer - diaktifkan di PC Anda, program berjalan secara otomatis dan mengganti kode di PC Anda dengan kode berbahaya.

Dalam hal, makro dinonaktifkan pada PC target, - fitur keamanan Microsoft yang secara default menonaktifkan semua kode makro pada dokumen Word - dokumen Word berbahaya membuka kotak dialog seperti yang digambarkan pada gambar di atas.

Teks pada gambar di atas berbunyi: "Perhatian! File dibuat dalam versi yang lebih baru dari program Microsoft Office. Anda harus mengaktifkan makro untuk menampilkan konten dokumen dengan benar."

Segera setelah pengguna mengaktifkan perintah, kode makro jahat mengganti kode pada PC Anda, menginfeksi file lain pada sistem dan memberikan akses jarak jauh ke penyerang - seperti yang terlihat dalam kasus di titik.

Bagaimana dan Apa Informasi Yang Dikumpulkan oleh Peretas

Peretas, dalam hal ini, menggunakan array plugin untuk mencuri data setelah mendapatkan akses jarak jauh ke perangkat target.

Plugin termasuk pengumpul file, yang mencari banyak ekstensi file dan mengunggahnya ke Dropbox; Pengumpul file USB, yang menempatkan dan menyimpan file dari drive USB yang terpasang pada perangkat yang terinfeksi.

Selain pengumpul file ini, plugin pengumpul data browser yang mencuri kredensial login dan data sensitif lainnya yang disimpan di browser, sebuah plugin untuk mengumpulkan data komputer termasuk alamat IP, nama dan alamat pemilik dan lebih banyak digunakan dalam serangan itu.

Selain semua ini, malware juga memberi hacker akses ke mikrofon perangkat target, yang memungkinkan rekaman audio - disimpan untuk dibaca di penyimpanan Dropbox penyerang.

Meskipun tidak ada kerusakan pada target dalam Operasi BugDrop, CyberX menunjukkan bahwa 'mengidentifikasi, menemukan dan melakukan pengintaian pada target biasanya merupakan tahap pertama operasi dengan tujuan yang lebih luas.'

Setelah detail ini dikumpulkan dan diunggah ke akun Dropbox penyerang, itu diunduh di ujung yang lain dan dihapus dari cloud - tanpa meninggalkan jejak informasi transaksi.

Dapatkan wawasan mendalam tentang peretasan dalam laporan CyberX di sini.

Bagaimana Melindungi Terhadap Serangan Tersebut?

Sementara cara paling sederhana untuk melindungi Anda dari serangan virus makro adalah tidak mematikan pengaturan default Microsoft Office untuk perintah Makro dan tidak menyerah pada permintaan dengan petunjuk (seperti dibahas di atas).

Jika ada kebutuhan yang sangat besar untuk mengaktifkan pengaturan makro, pastikan bahwa dokumen Word berasal dari sumber tepercaya - seseorang atau organisasi.

Pada tingkat organisasi, untuk mempertahankan diri dari serangan semacam itu, sistem harus digunakan yang dapat mendeteksi anomali dalam jaringan TI dan OT mereka pada tahap awal. Perusahaan juga dapat menyiratkan algoritma analitik perilaku yang membantu mendeteksi aktivitas tidak sah dalam jaringan.

Rencana tindakan untuk mempertahankan diri dari virus semacam itu juga harus ada - untuk menghindari bahaya dan menghindari kehilangan data sensitif jika serangan dilakukan.

Laporan tersebut menyimpulkan bahwa sementara tidak ada bukti kuat bahwa para peretas dipekerjakan oleh sebuah agen pemerintah.

Tetapi mengingat kecanggihan serangan itu, tidak ada keraguan bahwa peretas membutuhkan staf yang signifikan untuk memeriksa data yang dicuri serta ruang penyimpanan untuk semua data yang dikumpulkan - menunjukkan bahwa mereka sangat kaya atau menerima dukungan keuangan dari pemerintah atau lembaga non-pemerintah.

Sementara sebagian besar serangan ini dilakukan di Ukraina, aman untuk mengatakan bahwa serangan ini dapat dilakukan di negara mana saja tergantung pada kepentingan pribadi para peretas atau orang yang mempekerjakan mereka untuk mendapatkan akses ke data sensitif.