Atacatorii răspândesc o campanie de spionaj cibernetic în Ucraina, spionând pe microfoane PC pentru a asculta în secret conversațiile private și a stoca datele furate pe Dropbox. Operațiunea dublată BugDrop, atacul a vizat infrastructuri critice, mass-media și cercetători științifici.

Firma de securitate CyberX a confirmat atacurile, afirmând că Operațiunea BugDrop a lovit cel puțin 70 de victime în toată Ucraina. Potrivit CyberX, operațiunea de spionaj cibernetic a început până în iunie 2016 până în prezent. Compania a spus:

Operațiunea urmărește să capteze o serie de informații sensibile din țintele sale, inclusiv înregistrări audio ale conversațiilor, capturi de ecran, documente și parole. Spre deosebire de înregistrările video, care sunt adesea blocate de utilizatori, punând pur și simplu banda peste obiectivul camerei, este practic imposibil să blocați microfonul computerului fără a accesa și dezactiva fizic hardware-ul PC-ului.

Ținte și metode

Câteva exemple de obiective ale operației BugDrop includ:

• O companie care proiectează sisteme de monitorizare la distanță pentru infrastructurile de conducte de petrol și gaze.
• O organizație internațională care monitorizează drepturile omului, combaterea terorismului și atacurile informatice asupra infrastructurii critice din Ucraina.
• O companie de inginerie care proiectează stații electrice, conducte de distribuție a gazelor și instalații de alimentare cu apă.
• Un institut de cercetare științifică.
• Redactorii ziarelor ucrainene.

Mai exact, atacul a vizat victimele din statele separatiste ale Ucrainei, Donetsk și Luhansk. Pe lângă Dropbox, atacatorii folosesc și următoarele tactici avansate:

• Reflective DLL Injection, o tehnică avansată de injectare de malware, care a fost folosită și de BlackEnergy în atacurile rețelei ucrainene și de Duqu în atacurile Stuxnet asupra instalațiilor nucleare iraniene. Reflective DLL Injection încarcă codul rău intenționat fără a apela apelurile normale ale API-ului Windows, ocolind astfel verificarea de securitate a codului înainte ca acesta să fie încărcat în memorie.
• DLL-uri criptate, evitând astfel detectarea prin sisteme comune anti-virus și sandboxing, deoarece nu pot analiza fișierele criptate.
• Site-uri legitime de găzduire web gratuite pentru infrastructura sa de comandă și control. Serverele C&C reprezintă un potențial obstacol pentru atacatori, deoarece investigatorii pot identifica adesea atacatorii folosind detalii de înregistrare pentru serverul C&C obținut prin instrumente disponibile gratuit, precum whois și PassiveTotal. Pe de altă parte, site-urile gratuite de găzduire web necesită puține informații de înregistrare. Operația BugDrop utilizează un site web gratuit de găzduire pentru a stoca modulul principal de malware care este descărcat victimelor infectate. În comparație, atacatorii de la Groundbait s-au înregistrat și au plătit pentru propriile lor domenii dăunătoare și destinatarii IP.

Potrivit CyberX, Operația BugDrop imită puternic Operațiunea Groundbait, care a fost descoperită în mai 2016, vizând persoane pro-ruse.