防止黑客使用pc麦克风窃取数据

具有复杂战术，技术和程序的大规模黑客攻击是当下的事情 - 正如在美国大选期间所谓的俄罗斯黑客入侵报道中所见证的那样 - 现在黑客正在使用内置的PC麦克风来攻击企业和个人数据文件。

被称为“BugDrop操作”的黑客攻击者已经从乌克兰约70个组织和个人那里获得了数十亿字节的敏感数据。

其中包括俄罗斯，沙特阿拉伯，乌克兰和奥地利的几家乌克兰报纸，科学研究所，与人权监测，反恐，网络攻击，石油，天然气和水供应有关的组织的编辑。

根据网络安全公司Cyber​​X的一份报告，“该行动旨在从其目标中捕获一系列敏感信息，包括对话，截图，文档和密码的录音。”

黑客已经开始使用麦克风作为访问目标数据的一种方式，因为虽然只需将磁带放在网络摄像头上就可以轻松阻止视频录制，但是禁用系统的麦克风需要您在物理上拔掉硬件。

很多这些黑客都是在顿涅茨克和卢汉斯克的自我宣布的分离主义国家进行的 - 表明政府对这些袭击的影响，特别是因为这两个国家被乌克兰政府列为恐怖主义组织。

黑客使用Dropbox进行数据窃取，因为云服务的流量通常仍然被公司防火墙阻止，并且流量不足的流量也不受监控。

“BugDrop操作使用有针对性的电子邮件网络钓鱼攻击和嵌入在Microsoft Office附件中的恶意宏来感染其受害者。 它还使用聪明的社交工程技术诱骗用户启用宏，如果它们尚未启用，“Cyber​​X说。

宏病毒攻击的工作原理示例

以这个案例为例，Cyber​​X发现了这个装有Macro病毒的恶意Word文档，这种病毒通常不被市场上90％以上的反病毒软件检测到。

在您的PC上启用宏（简称：计算机代码位）之前，程序会自动运行并用恶意代码替换PC中的代码。

如果在目标PC上禁用宏， - 默认情况下禁用Word文档上所有宏代码的Microsoft安全功能 - 恶意Word文档会打开一个对话框，如上图所示。

上图中的文字写着：“注意！ 该文件是在较新版本的Microsoft Office程序中创建的。 您必须启用宏才能正确显示文档的内容。“

一旦用户启用该命令，恶意宏代码就会替换PC上的代码，感染系统上的其他文件并提供对攻击者的远程访问 - 如本例所示。

黑客如何收集信息和收集什么信息

在这种情况下，黑客在获得对目标设备的远程访问后使用了一系列插件来窃取数据。

这些插件包括文件收集器，它可以查找大量的文件扩展名并将它们上传到Dropbox; USB文件收集器，用于定位和存储受感染设备上连接的USB驱动器中的文件。

除了这些文件收集器，窃取存储在浏览器中的登录凭证和其他敏感数据的浏览器数据收集插件之外，攻击中还使用了用于收集计算机数据的插件，包括IP地址，所有者的姓名和地址等。

除此之外，恶意软件还让黑客可以访问目标设备的麦克风，这样可以录制音频 - 保存在攻击者的Dropbox存储中。

虽然在BugDrop行动中没有对目标造成任何损害，但Cyber​​X指出“在目标上识别，定位和执行侦察通常是具有更广泛目标的第一阶段行动。”

收集这些详细信息并将其上传到攻击者的Dropbox帐户后，它将在另一端下载并从云中删除 - 不会留下交易信息的痕迹。

在此处获取有关Cyber​​X报告中黑客攻击的深入见解。

如何防范此类攻击？

虽然保护您免受宏病毒攻击的最简单方法是关闭Microsoft Office默认设置的宏命令，而不是通过提示放弃请求（如上所述）。

如果迫切需要启用宏设置，请确保Word文档来自受信任的来源 - 个人或组织。

在组织层面，为防御此类攻击，应该使用可以在早期阶段检测其IT和OT网络异常的系统。 公司还可以暗示行为分析算法，该算法有助于检测网络中未经授权的活动。

还应制定防御此类病毒的行动计划 - 以避免危险并避免在执行攻击时丢失敏感数据。

报告的结论是，虽然没有确凿的证据证明黑客是由政府机构雇用的。

但鉴于攻击的复杂性，毫无疑问，黑客需要一个重要的工作人员来处理被窃取的数据以及收集的所有数据的存储空间 - 表明他们要么非常富有，要么得到政府的财政支持或非政府机构。

虽然这些攻击大多数是在乌克兰进行的，但可以肯定地说，这些攻击可以在任何国家进行，具体取决于黑客的既得利益或雇用他们获取敏感数据的人。