Το τελευταίο που θα μπορούσε να κατηγορήσει κανείς τους δημιουργούς προγραμμάτων ιών και άλλων κακόβουλων προγραμμάτων είναι η έλλειψη φαντασίας και δημιουργικότητας. Αυτό εξάψου είναι και αναγκαιότητα σε αυτό το “επάγγελμα” αφού είναι ένα συνεχόμενο παιχνίδι του ποντικιού και της γάτας με τις εταιρείες παροχής υπηρεσιών ασφαλείας για υπολογιστικές συσκευές.
Σύμφωνα με ερευνητές τις εταιρείας CyberX ένας καινούργιος ιός έχει κάνει την εμφάνιση του τις τελευταίες μέρες , με την ονομασία Operation Bugdrop που έχει την δυνατότητα να κρυφακούει τα θύματα του.
Operation bugdrop, τρόπος διάδοσης
Η μετάδοση του ιού γίνεται συνήθως μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου. Στο e-mail υπάρχει ένα αρχείο του word που χρησιμοποιεί την δυνατότητα των μακροεντολών που έχουν όλα τα προγράμματα του office.
Οι μακροεντολές αν και μπορούν να είναι ένα πολύ χρήσιμο εργαλείο για τον power user του office, παρόλα αυτά συχνά τις εκμεταλλευόταν διάφορα κακόβουλα προγράμματα για την μόλυνση των υπολογιστών του χρήστη. Για αυτό τον λόγο η Microsoft εδώ και χρόνια τις έχει απενεργοποιημένες από προεπιλογή. Όταν ανοίξει το αρχείο του word που περιέχει τον ιό, αν οι μακροεντολές είναι απενεργοποιημένες, βγάζει ένα μήνυμα που στον χρήστη φαίνεται ότι προέρχεται από το office που του λέει ότι “το αρχείο αυτό δημιουργήθηκε με μια μεταγενέστερη έκδοση προγραμμάτων του office, προκειμένου να μπορέσετε να το δείτε σωστά θα πρέπει να ενεργοποιήσετε τις μακροεντολές.
Το μήνυμα που παρουσιάζεται στον χρήστη προσπαθώντας να τον πείσει να ενεργοποιήσει τις μακροεντολές
Operation bugdrop, χώρες διάδοσης
Όπως θα παρατηρήσατε στην φωτογραφία ποιο πάνω το μήνυμα είναι στα ρώσικα. Ο ιός αυτός προς στιγμή στοχεύει οργανισμούς και εταιρείες κατά κύριο λόγο στην Ουκρανία, ενώ έχει κάνει και την εμφάνιση του στην Σαουδική Αραβία, Ρωσία και Αυστρία.
Η διάδοση του ιού ανά χώρα
Operation bugdrop, ο τρόπος δράσης του ιού
Ο ιός αφού εγκατασταθεί στον υπολογιστή του θύματος ανοίγει το μικρόφωνο του υπολογιστή και αρχίζει να καταγράφει τις πιθανές συνομιλίες που γίνονται στον περιβάλλοντα χώρο.
Επίσης παρακολουθεί τα προγράμματα περιήγησης στον παγκόσμιο ιστό του υπολογιστή του χρήστη, προσπαθώντας να ανακαλύψει κωδικούς πρόσβασης ή άλλα ευαίσθητα δεδομένα.
Ψάχνει να βρει αρχεία που μπορεί να περιέχουν πληροφορίες στον υπολογιστή του θύματος. Τα αρχεία που ψάχνει έχουν μεταξύ άλλων, τις εξής καταλήξεις : doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt
Αφού συγκεντρώσει όλες τις ποιο πάνω πληροφορίες τότε αυτές κρυπτογραφούνται και ανεβαίνουν στο dropbox.
Θα πρέπει να σημειώσουμε εδώ την έξυπνη λειτουργία του ιού. Το dropbox είναι μια από τις ποιο διαδεδομένες πλατφόρμες αποθήκευσης δεδομένων στο internet που υπάρχουν. Συνήθως οι εταιρίες αφήνουν τους χρήστες να χρησιμοποιούν τέτοιες υπηρεσίες αφού διευκολύνουν την ανταλλαγή πληροφοριών με συνεργάτες. Για αυτό τον λόγο και κατά κανόνα οι συνδέσεις σε αυτές τις υπηρεσίες δεν παρακολουθούνται από τα εταιρικά firewalls. Ενώ το ίδιο το dropbox ζητάει ελάχιστες και ανεπιβεβαίωτες πληροφορίες προκειμένου να κάνει κάποιος λογαριασμό.
Σε αντίθεση με ότι συμβαίνει με την κάμερα που οι χρήστες μπορούν εύκολα να προστατευθούν από οποιαδήποτε απόπειρα hacking, απλά βάζοντας μπροστά της μια αδιαφανή κολλητική ταινία με το μικρόφωνο δεν είναι εφικτό να γίνει αυτό. Ο μοναδικός τρόπος προστασίας είναι να αποσυνδεθεί το μικρόφωνο από τον υπολογιστή. Και αν και αυτό είναι σχετικά εύκολο να γίνει σε desktop συστήματα, είναι εξαιρετικά πολύπλοκο σε laptop, αφού θα πρέπει ο χρήστης να έχει εξειδικευμένες γνώσεις σχετικά με το hardware των laptops.
Operation bugdrop, τα θύματα και οι πιθανοί δράστες
Μέχρι στιγμής θύματα του ιού έχουν πέσει τουλάχιστον 70 οργανισμοί και εταιρείες κυρίως στην Ουκρανία όπως προείπαμε. Πιστεύετε ότι ως αποτέλεσμα της επίθεσης έχουν υποκλαπεί πάνω από 600 Gbytes δεδομένων.
Οι ερευνητές πιστεύουν ότι πίσω από την επίθεση πρέπει να κρύβεται κάποια κυβερνητική υπηρεσία που έχει στην διάθεση της υψηλούς πόρους. Αυτό το στηρίζουν στο γεγονός ότι όποιος κρύβεται από πίσω, θα πρέπει να έχει στην διάθεσή του υποδομή πολύ υψηλού επιπέδου και πολυάριθμο προσωπικό. Ο ίδιος ο ιός και ο τρόπος δράσης του υποδεικνύει άτομα με υψηλή τεχνική κατάρτιση και πρότερη εμπειρία στον τομέα αυτό.Να μην ξεχνάμε επίσης, ότι θα πρέπει να αποκρυπτογραφήσουν, αναλύσουν και να διαχειριστούν καθημερινά αρκετά Gb μη δομημένων δεδομένων. Παρόλα αυτά οι ερευνητές δεν μπόρεσαν να προσδιορίσουν ποιος συγκεκριμένα κρύβεται πίσω από την επίθεση.
Operation bugdrop και απλοί χρήστες
Όπως είδαμε προς το παρών η δράση του ιού περιορίζεται κυρίως στην Ουκρανία. Παρόλα αυτά τίποτα δεν αποκλείει να δούμε στο μέλλον μια παραλλαγή αυτού του ιού που θα στοχεύει και άλλες γεωγραφικές περιοχές. Βέβαια για να είμαστε ειλικρινής φαντάζει δύσκολο να δούμε παρόμοιας δράσης ιού να έχει ως στόχο απλούς χρήστες. Κυρίως λόγο των χρημάτων που απαιτούνται να “επενδυθούν” από τον επιτηθέμενο. Αν κάποιος θέλει να στοχεύσει απλούς χρήστες υπάρχουν πολλοί ποιο απλοί και ποιο φθηνοί τρόποι π.χ. Ransomware. Παρόλα αυτά το να γνωρίζει κανείς για τις νέες προσπάθειες εξαπάτησης και δράσης των νέων ιών, πάντοτε αποδεικνύετε μια καλή ιδέα.