Schützen Sie sich mit PC-Mikrofonen vor Hackern, die Daten stehlen

Umfangreiches Hacken mit ausgeklügelten Taktiken, Techniken und Verfahren ist an der Tagesordnung - wie auch Berichte über den angeblichen russischen Hacker während der US-Wahlen belegen - und jetzt verwenden Hacker eingebaute PC-Mikrofone, um in Unternehmen einzudringen und Dateien mit persönlichen Daten.

Getauft als "Operation BugDrop" haben die Hacker, die hinter dem Angriff stecken, Dutzende von Gigabyte an sensiblen Daten von etwa 70 Organisationen und Einzelpersonen in der Ukraine gesichert.

Dazu gehören Redakteure mehrerer ukrainischer Zeitungen, ein wissenschaftliches Forschungsinstitut sowie Organisationen, die sich mit Menschenrechtsüberwachung, Terrorismusbekämpfung, Cyberangriffen, Öl-, Gas- und Wasserversorgung befassen - in Russland, Saudi-Arabien, der Ukraine und Österreich.

Laut einem Bericht des Cyber-Sicherheitsunternehmens CyberX "versucht das Unternehmen, eine Reihe vertraulicher Informationen von seinen Zielen zu erfassen, darunter Audioaufzeichnungen von Gesprächen, Screenshots, Dokumenten und Passwörtern."

Hacker verwenden seit einiger Zeit Mikrofone, um auf Zieldaten zuzugreifen, da das Blockieren von Videoaufzeichnungen durch einfaches Einlegen eines Bands über die Webcam zwar einfach ist, das Deaktivieren des Mikrofons Ihres Systems jedoch erfordert, dass Sie die Hardware physisch vom Computer trennen.

Viele dieser Hacks wurden in den selbsterklärten Separatistenstaaten Donezk und Luhansk durchgeführt - ein Hinweis auf einen Einfluss der Regierung auf diese Angriffe, zumal diese beiden Staaten von der ukrainischen Regierung als Terroristen eingestuft wurden.

Die Hacker verwenden Dropbox für Datendiebstahl, da der Datenverkehr des Cloud-Dienstes in der Regel von Firewalls des Unternehmens nicht blockiert wird und der durch ihn fließende Datenverkehr nicht ebenfalls überwacht wird.

„Operation BugDrop infiziert seine Opfer mithilfe gezielter E-Mail-Phishing-Angriffe und bösartiger Makros, die in Microsoft Office-Anhänge eingebettet sind. Darüber hinaus wird cleveres Social Engineering eingesetzt, um Benutzer dazu zu verleiten, Makros zu aktivieren, wenn diese noch nicht aktiviert sind “, erklärt CyberX.

Ein Beispiel für die Funktionsweise von Macro Virus Attack

In diesem Fall hat CyberX dieses schädliche Word-Dokument entdeckt, das mit Makroviren geladen ist, die normalerweise von mehr als 90 Prozent der Antivirensoftware auf dem Markt nicht erkannt werden.

Solange auf Ihrem PC keine Makros (kurz: Bits von Computercodes) aktiviert sind, wird das Programm automatisch ausgeführt und ersetzt die Codes auf Ihrem PC durch schädliche Codes.

Für den Fall, dass Makros auf dem Ziel-PC deaktiviert sind - eine Microsoft-Sicherheitsfunktion, die standardmäßig alle Makrocodes in einem Word-Dokument deaktiviert -, wird durch das böswillige Word-Dokument ein Dialogfeld geöffnet (siehe Abbildung oben).

Der Text auf dem Bild oben lautet: „Achtung! Die Datei wurde in einer neueren Version von Microsoft Office-Programmen erstellt. Sie müssen Makros aktivieren, um den Inhalt eines Dokuments korrekt anzuzeigen. “

Sobald ein Benutzer den Befehl aktiviert, ersetzen böswillige Makrocodes die Codes auf Ihrem PC, infizieren andere Dateien auf dem System und gewähren dem Angreifer Remotezugriff - wie im vorliegenden Fall.

Wie und welche Informationen wurden von Hackern gesammelt

In diesem Fall verwendeten Hacker eine Reihe von Plug-ins, um Daten zu stehlen, nachdem sie Remotezugriff auf die Zielgeräte erhalten hatten.

Die Plugins enthielten File Collector, der nach einer Vielzahl von Dateierweiterungen sucht und diese auf Dropbox hochlädt. USB File Collector, der Dateien von einem angeschlossenen USB-Laufwerk auf dem infizierten Gerät findet und speichert.

Abgesehen von diesen Dateisammlern wurden bei dem Angriff Browser-Datenerfassungs-Plug-in verwendet, das Anmeldeinformationen und andere im Browser gespeicherte vertrauliche Daten stiehlt, ein Plug-in zum Erfassen von Computerdaten einschließlich IP-Adresse, Name und Adresse des Besitzers und mehr.

Darüber hinaus ermöglichte die Malware Hackern den Zugriff auf das Mikrofon des Zielgeräts, wodurch Audioaufnahmen - die im Dropbox-Speicher des Angreifers zur Einsicht gespeichert wurden - möglich sind.

Obwohl den Zielen in Operation BugDrop kein Schaden zugefügt wurde, weist CyberX darauf hin, dass "das Identifizieren, Lokalisieren und Durchführen von Erkundungen an Zielen normalerweise die erste Phase von Operationen mit umfassenderen Zielen ist".

Sobald diese Daten gesammelt und in das Dropbox-Konto des Angreifers hochgeladen wurden, werden sie am anderen Ende heruntergeladen und aus der Cloud gelöscht. Dabei bleiben keine Transaktionsinformationen zurück.

Verschaffen Sie sich hier einen detaillierten Einblick in den Hack im CyberX-Bericht.

Wie kann man sich vor solchen Angriffen schützen?

Die einfachste Möglichkeit, Sie vor Makrovirenangriffen zu schützen, besteht darin, die Standardeinstellung von Microsoft Office für Makrobefehle nicht zu deaktivieren und Anforderungen nicht durch Eingabeaufforderungen nachzugeben (siehe oben).

Wenn die Makroeinstellungen dringend aktiviert werden müssen, stellen Sie sicher, dass das Word-Dokument aus einer vertrauenswürdigen Quelle stammt - einer Person oder einer Organisation.

Auf organisatorischer Ebene sollten zur Abwehr solcher Angriffe Systeme eingesetzt werden, die Anomalien in ihren IT- und OT-Netzwerken frühzeitig erkennen können. Unternehmen können auch Verhaltensanalysealgorithmen einbeziehen, die dabei helfen, nicht autorisierte Aktivitäten im Netzwerk zu erkennen.

Ein Aktionsplan zur Abwehr solcher Viren sollte ebenfalls vorhanden sein - um die Gefahr abzuwenden und den Verlust sensibler Daten bei einem Angriff zu vermeiden.

Der Bericht kam zu dem Schluss, dass es zwar keinen stichhaltigen Beweis dafür gibt, dass die Hacker von einer Regierungsbehörde angeheuert wurden.

Angesichts der Raffiniertheit des Angriffs bestand kein Zweifel, dass die Hacker ein beträchtliches Personal benötigten, um die gestohlenen Daten sowie den Speicherplatz für alle gesammelten Daten zu durchsuchen - was darauf hindeutet, dass sie entweder sehr reich waren oder finanzielle Unterstützung von einer Regierung oder erhielten Nichtregierungsinstitution.

Während die meisten dieser Angriffe in der Ukraine durchgeführt wurden, kann man mit Sicherheit sagen, dass diese Angriffe in jedem Land durchgeführt werden können, abhängig von den berechtigten Interessen der Hacker oder den Personen, die sie anheuern, um Zugang zu sensiblen Daten zu erhalten.