Atakujący rozprzestrzeniają kampanię cyberszpiegowską na Ukrainie, szpiegując mikrofony komputerowe w celu potajemnego słuchania prywatnych rozmów i przechowywania skradzionych danych na Dropbox. Nazwana Operacją BugDrop atak atakował krytyczną infrastrukturę, media i naukowców.

Firma Cybersecurity, CyberX, potwierdziła ataki, mówiąc, że operacja BugDrop uderzyła w co najmniej 70 ofiar na Ukrainie. Według CyberX, cyberszpiegostwo rozpoczęło się nie później niż w czerwcu 2016 r. Do chwili obecnej. Firma powiedziała:

Operacja ma na celu przechwycenie szeregu poufnych informacji z jej celów, w tym nagrań dźwiękowych rozmów, zrzutów ekranu, dokumentów i haseł. W przeciwieństwie do nagrań wideo, które często są blokowane przez użytkowników po prostu umieszczających taśmę nad obiektywem kamery, praktycznie niemożliwe jest zablokowanie mikrofonu komputera bez fizycznego dostępu i wyłączenia sprzętu komputerowego.

Cele i metody

Niektóre przykłady celów operacji BugDrop obejmują:

• Firma projektująca systemy zdalnego monitorowania infrastruktury rurociągów naftowych i gazowych.
• Międzynarodowa organizacja monitorująca prawa człowieka, przeciwdziałanie terroryzmowi i cyberataki na infrastrukturę krytyczną na Ukrainie.
• Firma inżynierska projektująca podstacje elektryczne, rurociągi dystrybucyjne gazu i instalacje wodociągowe.
• Instytut badań naukowych.
• Redaktorzy ukraińskich gazet.

Ściślej mówiąc, atak był skierowany do ofiar w separatystycznych ukraińskich państwach Donieck i Ługańsk. Oprócz Dropbox, atakujący używają również następujących zaawansowanych taktyk:

• Reflective DLL Injection, zaawansowana technika wstrzykiwania złośliwego oprogramowania, która była również używana przez BlackEnergy w atakach na ukraińską sieć i przez Duqu w atakach Stuxnet na irańskie obiekty jądrowe. Odblaskowe wstrzykiwanie DLL ładuje złośliwy kod bez wywoływania normalnych wywołań interfejsu API systemu Windows, tym samym omijając weryfikację bezpieczeństwa kodu przed załadowaniem go do pamięci.
• Zaszyfrowane biblioteki DLL, unikając w ten sposób wykrycia przez popularne systemy antywirusowe i piaskownicowe, ponieważ nie są w stanie analizować zaszyfrowanych plików.
• Uzasadnione bezpłatne witryny hostingowe dla infrastruktury dowodzenia i kontroli. Serwery C&C stanowią potencjalną pułapkę dla atakujących, ponieważ śledczy często mogą zidentyfikować atakujących przy użyciu danych rejestracyjnych dla serwera C&C uzyskanych za pośrednictwem bezpłatnych narzędzi, takich jak whois i PassiveTotal. Z drugiej strony bezpłatne witryny hostingowe wymagają niewielkiej liczby informacji rejestracyjnych lub nie wymagają ich wcale. Operacja BugDrop korzysta z bezpłatnego serwisu hostingowego do przechowywania podstawowego modułu złośliwego oprogramowania, który jest pobierany do zainfekowanych ofiar. Dla porównania, osoby atakujące zanętę zarejestrowały się i zapłaciły za swoje własne złośliwe domeny i adresatów IP.

Według CyberX, Operacja BugDrop mocno naśladuje zanętę Operacja zanętowa, która została odkryta w maju 2016 r. I skierowana do prorosyjskich osób.