Protection contre les pirates utilisant des microphones d'ordinateur pour voler des données

Le piratage à grande échelle avec des tactiques, techniques et procédures sophistiquées est à l’ordre du jour - comme cela a également été observé dans des rapports sur le prétendu piratage russe lors des élections américaines - et les pirates utilisent maintenant des microphones intégrés pour se frayer un chemin dans les entreprises. et fichiers de données personnelles.

Baptisés «Opération BugDrop», les pirates informatiques à l'origine de l'attaque ont sécurisé des dizaines de giga-octets de données sensibles provenant d'environ 70 organisations et personnes en Ukraine.

Ceux-ci incluent des rédacteurs en chef de plusieurs journaux ukrainiens, un institut de recherche scientifique, des organisations associées à la surveillance des droits de l'homme, à la lutte contre le terrorisme, aux cyber-attaques, à l'approvisionnement en pétrole, en gaz et en eau - en Russie, en Arabie saoudite, en Ukraine et en Autriche.

Selon un rapport de la société de cybersécurité CyberX, "l'opération vise à capturer une gamme d'informations sensibles provenant de ses cibles, y compris des enregistrements audio de conversations, des captures d'écran, des documents et des mots de passe."

Les pirates informatiques ont commencé à utiliser des microphones comme moyen d'accéder aux données cibles, car s'il est facile de bloquer des enregistrements vidéo en plaçant simplement une bande sur la webcam, la désactivation du microphone de votre système nécessite de débrancher le matériel physiquement.

Un grand nombre de ces piratages ont été perpétrés dans les États séparatistes autoproclamés de Donetsk et de Lougansk, indiquant une influence du gouvernement sur ces attaques, d’autant plus que ces deux États ont été classés parmi les terroristes par le gouvernement ukrainien.

Les pirates informatiques utilisent Dropbox pour le vol de données, car le trafic du service cloud reste généralement bloqué par les pare-feu de l'entreprise et le trafic qui le traverse n'est pas également surveillé.

«L'opération BugDrop infecte ses victimes à l'aide d'attaques de phishing par courrier électronique ciblées et de macros malveillantes intégrées dans les pièces jointes de Microsoft Office. Il utilise également une ingénierie sociale intelligente pour inciter les utilisateurs à activer les macros s’ils ne le sont pas déjà », déclare CyberX.

Exemple de fonctionnement d’une attaque de virus de macro

Prenant le cas d'espèce, CyberX a découvert ce document Word malveillant chargé de virus Macro, qui n'est généralement pas détecté par plus de 90% des logiciels anti-virus disponibles sur le marché.

Jusqu'à ce que les macros - brièvement: des morceaux de codes d'ordinateur - soient activées sur votre PC, le programme s'exécute automatiquement et remplace les codes de votre PC par des codes malveillants.

Dans le cas où les macros sont désactivées sur le PC cible - une fonctionnalité de sécurité Microsoft qui désactive par défaut tous les codes de macros sur un document Word - le document Word malveillant ouvre une boîte de dialogue comme illustré dans l'image ci-dessus.

Le texte sur l'image ci-dessus se lit comme suit: “Attention! Le fichier a été créé dans une version plus récente des programmes Microsoft Office. Vous devez activer les macros pour afficher correctement le contenu d'un document. ”

Dès qu'un utilisateur active la commande, des codes de macros malveillants remplacent des codes sur votre PC, infectent d'autres fichiers du système et donnent un accès distant à l'attaquant - comme en témoigne le cas d'espèce.

Comment et quelles informations ont été collectées par les pirates

Les pirates, dans ce cas, ont utilisé un tableau de plugins pour voler des données après avoir obtenu un accès à distance aux périphériques cibles.

Les plugins inclus collecteur de fichiers, qui recherche des multitudes d'extensions de fichiers et les télécharge sur Dropbox; Collecteur de fichiers USB, qui localise et stocke les fichiers d'un lecteur USB connecté sur le périphérique infecté.

Outre ces collecteurs de fichiers, le plug-in de collecte de données de navigateur qui vole les identifiants de connexion et autres données sensibles stockées dans le navigateur, un plug-in destiné à collecter des données informatiques, notamment l'adresse IP, le nom et l'adresse du propriétaire, ont été utilisés lors de l'attaque.

En plus de tout cela, le malware a également donné aux pirates l'accès au microphone du périphérique cible, ce qui permet des enregistrements audio, sauvegardés dans le stockage Dropbox de l'attaquant.

CyberX souligne que "les cibles dans l'opération BugDrop n'ont pas subi de dommages, mais" identifier, localiser et effectuer des reconnaissances sur les cibles est généralement la première phase des opérations aux objectifs plus larges ".

Une fois ces informations collectées et téléchargées sur le compte Dropbox de l'attaquant, elles sont téléchargées à l'autre extrémité et supprimées du cloud, ce qui ne laisse aucune trace des informations de transaction.

Obtenez des informations détaillées sur le piratage du rapport de CyberX ici.

Comment se protéger contre de telles attaques?

Le moyen le plus simple de vous protéger contre les attaques de virus de macro ne consiste pas à désactiver le paramètre par défaut de Microsoft Office pour les commandes de macro et à ne pas répondre aux demandes à l'aide d'invites (comme indiqué ci-dessus).

S'il est absolument nécessaire d'activer les paramètres de macro, assurez-vous que le document Word provient d'une source fiable - une personne ou une organisation.

Au niveau organisationnel, pour se défendre contre de telles attaques, il convient de mettre en place des systèmes capables de détecter les anomalies dans leurs réseaux informatiques et OT à un stade précoce. Les entreprises peuvent également impliquer des algorithmes d'analyse comportementale qui aident à détecter les activités non autorisées sur le réseau.

Un plan d'action pour se défendre contre ce virus devrait également être en place - afin d'éviter le danger et d'éviter de perdre des données sensibles si une attaque est exécutée.

Le rapport a conclu qu'il n'y avait pas de preuve irréfutable que les pirates avaient été embauchés par un organisme gouvernemental.

Mais compte tenu de la complexité de l’attaque, il ne fait aucun doute que les pirates informatiques avaient besoin d’un personnel important pour parcourir les données volées ainsi que de l’espace de stockage pour toutes les données collectées - indiquant qu’ils étaient soit très riches, soit soutenus financièrement par un gouvernement. institution non gouvernementale.

Bien que la majorité de ces attaques aient eu lieu en Ukraine, on peut affirmer que ces attaques peuvent être menées dans n'importe quel pays, en fonction des intérêts acquis des pirates informatiques ou des personnes qui les ont embauchés pour accéder à des données sensibles.