Napadači šire kampanju cyber špijunaže u Ukrajini špijuniranjem mikrofona računala kako bi potajno slušali privatne razgovore i spremili ukradene podatke na Dropboxu. Nazvana operacija BugDrop, napad je ciljao na kritičnu infrastrukturu, medije i znanstvene istraživače.

Tvrtka za cyber-sigurnost CyberX potvrdila je napade rekavši da je operacija BugDrop pogodila najmanje 70 žrtava širom Ukrajine. Prema CyberX-u, operacija cyber špijunaže započela je najkasnije u lipnju 2016. do danas. Tvrtka je rekla:

Ovom operacijom želi se uhvatiti niz osjetljivih informacija od svojih ciljeva, uključujući audio snimke razgovora, snimke zaslona, ​​dokumente i lozinke. Za razliku od video zapisa, koje korisnici često blokiraju, jednostavno stavljajući vrpcu preko objektiva kamere, gotovo je nemoguće blokirati mikrofon vašeg računala bez fizičkog pristupa i onemogućavanja hardvera računala.

Ciljevi i metode

Neki primjeri ciljeva operacije BugDrop uključuju:

• Tvrtka koja dizajnira sustave za daljinsko praćenje infrastrukture nafte i plinovoda.
• Međunarodna organizacija koja nadzire ljudska prava, borbu protiv terorizma i cyber napade na kritičnu infrastrukturu u Ukrajini.
• Inženjerska tvrtka koja dizajnira električne podstanice, plinovodne distribucijske cijevi i postrojenja za vodoopskrbu.
• Znanstveno-istraživački institut.
• Urednici ukrajinskih novina.

Konkretnije, napad je bio usmjeren na žrtve u ukrajinskim separatističkim državama Donjeck i Luhansk. Pored Dropbox-a, napadači koriste i sljedeće napredne taktike:

• Reflective DLL Injection, napredna tehnika ubrizgavanja zlonamjernog softvera koju je također koristila BlackEnergy u napadima na ukrajinsku mrežu i Duqu u napadima Stuxnet na iranske nuklearne objekte. Reflektivna DLL injekcija učita zlonamjeran kôd bez pozivanja uobičajenih Windows API poziva, čime zaobilazeći sigurnosnu provjeru koda prije nego što se učita u memoriju.
• Šifrirane DLL datoteke izbjegavaju otkrivanje pomoću uobičajenih antivirusnih i sandbox sustava jer nisu u mogućnosti analizirati šifrirane datoteke.
• Zakonske besplatne web hosting web stranice za njegovu naredbu i kontrolu infrastrukture. C&C poslužitelji potencijalna su zamjena napadača jer istražitelji često mogu identificirati napadače pomoću detalja o registraciji za C&C poslužitelj dobivenih putem slobodno dostupnih alata kao što su whois i PassiveTotal. S druge strane, besplatne web hosting stranice zahtijevaju malo ili nikakvih podataka o registraciji. Operacija BugDrop koristi besplatnu web hosting stranicu za pohranu jezgrenog zlonamjernog softvera koji se preuzima na zaražene žrtve. Za usporedbu, Groundbait su napadači registrirali i platili svoje vlastite zlonamjerne domene i IP adrese.

Prema CyberX-u, operacija BugDrop snažno oponaša operaciju Groundbait koja je otkrivena u svibnju 2016. i usmjerena je na proruske pojedince.