Les pirates utilisent des microphones PC pour voler des données: voici comment être en sécurité

Grande échelle piratage avec des tactiques et des techniques sophistiquées et les procédures sont à l'ordre du jour - comme en témoignent également les rapports sur le piratage russe présumé lors des élections américaines - et maintenant les pirates utilisent des microphones PC intégrés pour se frayer un chemin dans les fichiers de données d'entreprise et personnelles.







Baptisés «Opération BugDrop», les pirates informatiques à l'origine de l'attaque ont des dizaines de gigaoctets sécurisés des données sensibles d'environ 70 organisations et individus en Ukraine.



Il s'agit notamment des rédacteurs en chef de plusieurs journaux ukrainiens, d'un institut de recherche scientifique, d'organisations associées à la surveillance des droits de l'homme, à la lutte contre le terrorisme, aux cyberattaques, à l'approvisionnement en pétrole, en gaz et en eau - en Russie, en Arabie saoudite, en Ukraine et en Autriche.

Selon un rapport de la firme de cybersécurité CyberX, 'L'opération vise à capturer une gamme d'informations sensibles à partir de ses cibles, y compris des enregistrements audio de conversations, des captures d'écran, des documents et des mots de passe.'

Les pirates ont commencé à utiliser des microphones comme moyen d'accéder aux données cibles car, bien qu'il soit facile de bloquer les enregistrements vidéo en plaçant simplement une bande sur la webcam, la désactivation du microphone de votre système vous oblige à débrancher le matériel physiquement.

Beaucoup de ces piratages ont été menés dans les États séparatistes autoproclamés de Donetsk et Louhansk - indiquant une influence du gouvernement dans ces attaques, d'autant plus que ces deux États ont été classés comme des tenues terroristes par le gouvernement ukrainien.

Les pirates informatiques utilisent Dropbox pour le vol de données, car le trafic du service cloud reste généralement non bloqué par les pare-feu d'entreprise et le trafic qui le traverse n'est pas également surveillé.

«L'opération BugDrop infecte ses victimes à l'aide d'attaques de phishing par e-mail ciblées et de macros malveillantes intégrées aux pièces jointes de Microsoft Office. Il utilise également une ingénierie sociale intelligente pour inciter les utilisateurs à activer les macros si elles ne sont pas déjà activées », déclare CyberX.





Un exemple du fonctionnement de l'attaque de virus de macro




Prenant le cas en exemple, CyberX a découvert ce document Word malveillant qui était chargé avec le virus Macro, qui n'est généralement pas détecté par plus de 90% des logiciels antivirus sur le marché.

Jusqu'à ce que les macros - brièvement: des bits de codes informatiques - soient activées sur votre PC, le programme s'exécute automatiquement et remplace les codes de votre PC par des codes malveillants.

Dans le cas où les macros sont désactivées sur le PC cible, - une fonction de sécurité Microsoft qui désactive par défaut tous les codes de macro sur un document Word - le document Word malveillant ouvre une boîte de dialogue comme illustré dans l'image ci-dessus.

Le texte sur l'image ci-dessus se lit comme suit: «Attention! Le fichier a été créé dans une version plus récente des programmes Microsoft Office. Vous devez activer les macros pour afficher correctement le contenu d'un document. »

Dès qu'un utilisateur active la commande, des codes de macro malveillants remplacent les codes sur votre PC, infectent d'autres fichiers sur le système et donnent un accès à distance à l'attaquant - comme on le voit dans le cas d'espèce.





Comment et quelles informations ont été collectées par les pirates

Les pirates, dans ce cas, ont utilisé un tableau de plugins pour voler des données après avoir obtenu un accès à distance aux appareils cibles.

Les plugins comprenaient un collecteur de fichiers, qui recherche une multitude d'extensions de fichiers et les télécharge sur Dropbox; Collecteur de fichiers USB, qui localise et stocke les fichiers à partir d'un lecteur USB connecté sur le périphérique infecté.

Outre ces collecteurs de fichiers, un plug-in de collecte de données de navigateur qui vole les identifiants de connexion et d'autres données sensibles stockées dans le navigateur, un plug-in pour collecter des données informatiques, y compris l'adresse IP, le nom et l'adresse du propriétaire, etc. ont été utilisés dans l'attaque.

En plus de tout cela, le malware a également donné aux pirates un accès au microphone de l'appareil cible, ce qui permet des enregistrements audio - enregistrés pour lecture dans le stockage Dropbox de l'attaquant.

Bien qu'aucun dommage n'ait été causé aux cibles de l'opération BugDrop, CyberX souligne que «l'identification, la localisation et la réalisation de reconnaissance sur les cibles sont généralement la première phase des opérations avec des objectifs plus larges».

Une fois ces détails rassemblés et téléchargés sur le compte Dropbox de l'attaquant, ils sont téléchargés à l'autre extrémité et supprimés du cloud - ne laissant aucune trace des informations de transaction.

Obtenez des informations détaillées sur le piratage Le rapport de CyberX ici.



Comment se prémunir contre de telles attaques?




Bien que le moyen le plus simple de vous protéger contre les attaques de virus de macro ne soit pas de désactiver le paramètre par défaut de Microsoft Office pour les commandes de macro et de ne pas céder aux demandes par des invites (comme expliqué ci-dessus).

S'il est absolument nécessaire d'activer les paramètres de macro, assurez-vous que le document Word provient d'une source fiable - une personne ou une organisation.

Au niveau organisationnel, pour se prémunir contre de telles attaques, des systèmes devraient être mis en service afin de détecter les anomalies dans leurs réseaux informatiques et OT à un stade précoce. Les entreprises peuvent également impliquer des algorithmes d'analyse comportementale qui aident à détecter les activités non autorisées dans le réseau.

Un plan d'action pour se défendre contre un tel virus devrait également être en place - afin d'éviter le danger et d'éviter de perdre des données sensibles si une attaque est exécutée.

Le rapport conclut que bien qu'il n'y ait aucune preuve tangible que les pirates ont été embauchés par un organisme gouvernemental.

Mais compte tenu de la sophistication de l'attaque, il ne fait aucun doute que les pirates avaient besoin d'un personnel important pour parcourir les données volées ainsi que de l'espace de stockage pour toutes les données collectées - ce qui indique qu'ils étaient soit très riches ou ont reçu un soutien financier d'un gouvernement ou institution non gouvernementale.

Bien que la majorité de ces attaques aient été menées en Ukraine, il est sûr de dire que ces attaques peuvent être menées dans n'importe quel pays en fonction des intérêts particuliers des pirates informatiques ou des personnes qui les embauchent pour accéder à des données sensibles.