حماية ضد المتسللين باستخدام الميكروفونات الكمبيوتر لسرقة البيانات

القرصنة على نطاق واسع مع التكتيكات والتقنيات والإجراءات المعقدة هي أمر اليوم - كما شوهد أيضًا في تقارير حول الاختراق الروسي المزعوم خلال الانتخابات الأمريكية - والآن يستخدم المتسللون ميكروفونات الكمبيوتر المدمجة لاختراق طريقهم إلى الشركات وملفات البيانات الشخصية.

يُطلق عليها اسم "عملية BugDrop" ، وقد حصل المتسللون وراء الهجوم على عشرات غيغابايت من البيانات الحساسة من حوالي 70 منظمة وأفراد في أوكرانيا.

وتشمل هذه المحررين في العديد من الصحف الأوكرانية ، ومعهد البحوث العلمية ، والمنظمات المرتبطة بمراقبة حقوق الإنسان ومكافحة الإرهاب والهجمات الإلكترونية والنفط والغاز وإمدادات المياه - في روسيا والمملكة العربية السعودية وأوكرانيا والنمسا.

وفقًا لتقرير صادر عن شركة CyberX للأمان الإلكتروني ، "تسعى العملية إلى التقاط مجموعة من المعلومات الحساسة من أهدافها بما في ذلك التسجيلات الصوتية للمحادثات ولقطات الشاشة والمستندات وكلمات المرور."

بدأ المتسللون في استخدام الميكروفونات كوسيلة للوصول إلى البيانات المستهدفة لأنه بينما من السهل حظر تسجيلات الفيديو ببساطة عن طريق وضع شريط على كاميرا الويب ، فإن تعطيل الميكروفون في النظام الخاص بك يتطلب منك فصل الجهاز عن الجهاز فعليًا.

تم إجراء الكثير من هذه الاختراقات في ولايتي دونيتسك ولوهانسك الانفصالية ، مما يشير إلى نفوذ الحكومة في هذه الهجمات ، خاصة وأن هاتين الدولتين صنفتا على أنهما إرهابيتان من قبل الحكومة الأوكرانية.

يستخدم المتسللون دروببوإكس لسرقة البيانات حيث أن حركة الخدمة السحابية تظل عادةً غير محظورة بواسطة جدران الحماية للشركات ولا تتم مراقبة حركة المرور المتدفقة عبرها كذلك.

"تصيب عملية BugDrop ضحاياه باستخدام هجمات تصيد البريد الإلكتروني المستهدفة ووحدات الماكرو الضارة الموجودة في مرفقات Microsoft Office. كما يستخدم CyberX هندسة اجتماعية ذكية لخداع المستخدمين لتمكين وحدات الماكرو إذا لم تكن ممكنة بالفعل.

مثال على كيفية عمل هجوم فيروس ماكرو

إذا أخذنا بعين الاعتبار الحالة ، اكتشفت CyberX مستند Word الضار الذي تم تحميله بفيروس ماكرو ، والذي عادة ما يتم اكتشافه بواسطة أكثر من 90 بالمائة من برنامج مكافحة الفيروسات في السوق.

حتى يتم تمكين وحدات الماكرو - باختصار: بتات من رموز الكمبيوتر - على جهاز الكمبيوتر الخاص بك ، يتم تشغيل البرنامج تلقائيًا واستبدال الرموز الموجودة في جهاز الكمبيوتر الخاص بك برموز ضارة.

في هذه الحالة ، يتم تعطيل وحدات الماكرو على الكمبيوتر المستهدف ، وهي ميزة أمان من Microsoft تقوم افتراضيًا بتعطيل كافة رموز الماكرو في مستند Word - يفتح مستند Word الضار مربع حوار كما هو موضح في الصورة أعلاه.

يقول النص الموجود في الصورة أعلاه: "انتباه! تم إنشاء الملف في إصدار أحدث من برامج Microsoft Office. يجب تمكين وحدات الماكرو لعرض محتويات المستند بشكل صحيح."

بمجرد قيام المستخدم بتمكين الأمر ، تحل رموز الماكرو الخبيثة محل الرموز على جهاز الكمبيوتر الخاص بك ، وتصيب الملفات الأخرى على النظام وتمنح الوصول عن بعد إلى المهاجم - كما يظهر في الحالة المذكورة.

كيف وما هي المعلومات التي تم جمعها من قبل المتسللين

في هذه الحالة ، استخدم المتسللون مجموعة من المكونات الإضافية لسرقة البيانات بعد الحصول على الوصول عن بُعد إلى الأجهزة المستهدفة.

وشملت الإضافات جامع الملفات ، الذي يبحث عن العديد من امتدادات الملفات وتحميلها على Dropbox ؛ أداة تجميع ملفات USB ، والتي تقوم بتحديد موقع وتخزين الملفات من محرك أقراص USB متصل على الجهاز المصاب.

بخلاف جامعي الملفات ، تم استخدام المكون الإضافي لجمع بيانات المتصفح الذي يسرق بيانات اعتماد تسجيل الدخول والبيانات الحساسة الأخرى المخزنة في المستعرض ، ومكون إضافي لجمع بيانات الكمبيوتر بما في ذلك عنوان IP واسم المالك وعنوانه والمزيد في الهجوم.

بالإضافة إلى كل هذا ، أتاحت البرامج الضارة للمتسللين الوصول إلى ميكروفون الجهاز الهدف ، والذي يتيح التسجيلات الصوتية - المحفوظة للاطلاع على التخزين في Dropbox للمهاجم.

على الرغم من عدم حدوث أي ضرر للأهداف في "عملية BugDrop" ، يشير CyberX إلى أن "تحديد الأهداف وتحديد موقعها وتنفيذها هو عادةً المرحلة الأولى من العمليات ذات الأهداف الأوسع".

بمجرد جمع هذه التفاصيل وتحميلها على حساب Dropbox للمهاجمين ، يتم تنزيلها من الطرف الآخر وحذفها من السحابة - دون ترك أي أثر لمعلومات المعاملات.

اكتسب نظرة معمقة حول الاختراق في تقرير CyberX هنا.

كيفية الوقاية من هذه الهجمات؟

على الرغم من أن أبسط طريقة لحمايتك من هجمات فيروس ماكرو لا تقوم بإيقاف تشغيل الإعداد الافتراضي لـ Microsoft Office لأوامر ماكرو ولا تستجيب لطلبات المطالبات (كما تمت مناقشته أعلاه).

إذا كانت هناك حاجة ماسة إلى تمكين إعدادات الماكرو ، فتأكد من أن مستند Word يأتي من مصدر موثوق - شخص أو مؤسسة.

على المستوى التنظيمي ، للدفاع ضد مثل هذه الهجمات ، يجب استخدام الأنظمة التي يمكنها اكتشاف الحالات الشاذة في شبكات تكنولوجيا المعلومات و OT الخاصة بهم في مرحلة مبكرة. يمكن للشركات أيضًا أن تتضمن خوارزميات تحليلات سلوكية تساعد على اكتشاف الأنشطة غير المصرح بها في الشبكة.

يجب أن تكون هناك خطة عمل للدفاع ضد هذا الفيروس في مكانها أيضًا - لتفادي الخطر وتجنب فقد البيانات الحساسة في حالة تنفيذ الهجوم.

وخلص التقرير إلى أنه بينما لا يوجد دليل قوي على أن المتسللين قد تم توظيفهم من قبل وكالة حكومية.

ولكن نظرًا لتطور الهجوم ، لا شك في أن المتسللين يحتاجون إلى فريق كبير من الموظفين للاطلاع على البيانات المسروقة بالإضافة إلى مساحة التخزين لجميع البيانات التي تم جمعها - مما يشير إلى أنهم إما كانوا ثريين جدًا أو تلقوا دعمًا ماليًا من حكومة أو مؤسسة غير حكومية.

على الرغم من أن غالبية هذه الهجمات قد تم إجراؤها في أوكرانيا ، إلا أنه من الآمن القول إن هذه الهجمات يمكن تنفيذها في أي بلد وفقًا للمصالح الخاصة للمتسللين أو الأشخاص الذين يستأجرونها للوصول إلى البيانات الحساسة.