Útočníci šíria kybernetickú špionážnu kampaň na Ukrajine špionážou na PC mikrofónoch, aby tajne počúvali súkromné ​​rozhovory a ukradnuté údaje ukladali na Dropbox. Útok s názvom BugDrop, útok zameraný na kritickú infraštruktúru, médiá a vedeckých výskumníkov.

Kybernetická bezpečnostná spoločnosť CyberX útoky potvrdila s tým, že operácia BugDrop zasiahla najmenej 70 obetí na Ukrajine. Podľa spoločnosti CyberX sa činnosť kybernetickej špionáže začala najneskôr v júni 2016 až do súčasnosti. Spoločnosť uviedla:

Táto operácia sa snaží zachytiť zo svojich cieľov množstvo citlivých informácií vrátane zvukových záznamov konverzácií, snímok obrazovky, dokumentov a hesiel. Na rozdiel od videozáznamov, ktoré často blokujú používatelia jednoducho umiestnením pásky na objektív fotoaparátu, je prakticky nemožné zablokovať mikrofón počítača bez fyzického prístupu a vypnutia hardvéru počítača.

Ciele a metódy

Medzi príklady cieľov operácie BugDrop patria:

• Spoločnosť, ktorá navrhuje diaľkové monitorovacie systémy pre ropovodné a plynovodné infraštruktúry.
• Medzinárodná organizácia, ktorá monitoruje ľudské práva, boj proti terorizmu a počítačové útoky na kritickú infraštruktúru na Ukrajine.
• Inžinierska spoločnosť, ktorá navrhuje elektrické rozvodne, rozvody plynu a vodovody.
• Vedecký výskumný ústav.
• Redaktori ukrajinských novín.

Konkrétnejšie, útok bol zameraný na obete v ukrajinských separatistických štátoch Doneck a Luhansk. Útočníci používajú okrem Dropboxu aj tieto pokročilé taktiky:

• Reflective DLL Injection, pokročilá technika na vstrekovanie škodlivého softvéru, ktorú použila aj BlackEnergy pri útokoch na ukrajinskú sieť a Duqu pri útokoch Stuxnet na iránske jadrové zariadenia. Reflective DLL Injection načíta škodlivý kód bez toho, aby volal na normálne volania rozhrania Windows API, čím obchádza bezpečnostné overenie kódu pred jeho načítaním do pamäte.
• Šifrované dll, čím sa zabráni detekcii pomocou bežných antivírusových systémov a sandboxov, pretože nedokážu analyzovať šifrované súbory.
• Legitímne bezplatné webhostingové weby pre svoju infraštruktúru riadenia a zabezpečenia. Servery C&C sú potenciálnym útokom na útočníkov, pretože vyšetrovatelia často identifikujú útočníkov pomocou registračných údajov pre server C&C získaných prostredníctvom voľne dostupných nástrojov, ako sú whois a PassiveTotal. Na druhej strane webové stránky s bezplatným webhostingom vyžadujú málo alebo žiadne registračné informácie. Operácia BugDrop používa bezplatný webový server na ukladanie hlavného modulu škodlivého softvéru, ktorý sa stiahne infikovaným obetiam. V porovnaní s tým útočníci Groundbaitu zaregistrovali a zaplatili za svoje škodlivé domény a adresy IP.

Podľa CyberX, operácia BugDrop silne napodobňuje operáciu Krmivo, ktorá bola objavená v máji 2016 a bola zameraná na pro ruských jednotlivcov.