Нападателите разпространяват кампания за кибер шпионаж в Украйна, като шпионират на микрофони на ПК, за да слушат тайно лични разговори и да съхраняват откраднати данни в Dropbox. Операцията, наречена BugDrop, атаката е насочена към критична инфраструктура, медии и научни изследователи.

Фирмата за киберсигурност CyberX потвърди атаките, като заяви, че операция BugDrop е ударила най-малко 70 жертви в цяла Украйна. Според CyberX, операцията по кибер шпионаж стартира не по-късно от юни 2016 г. до момента. Компанията каза:

Операцията се стреми да обхване диапазон от чувствителна информация от своите цели, включително аудио записи на разговори, снимки на екрана, документи и пароли. За разлика от видеозаписите, които потребителите често се блокират, просто поставят лента върху обектива на камерата, на практика е невъзможно да блокирате микрофона на вашия компютър, без физически да получите достъп и деактивирате хардуера на компютъра.

Цели и методи

Някои примери за целите на BugDrop на операция включват:

• Компания, която проектира системи за отдалечен мониторинг на нефто- и газопроводни инфраструктури.
• Международна организация, която наблюдава човешките права, борбата с тероризма и кибератаките срещу критичната инфраструктура в Украйна.
• Инженерна компания, която проектира електрически подстанции, газопроводи и водоснабдителни инсталации.
• Научноизследователски институт.
• Редактори на украински вестници.

По-конкретно, нападението е насочено към жертви в украинските сепаратистки държави Донецк и Луганск. Освен Dropbox, нападателите използват и следните усъвършенствани тактики:

• Reflective DLL Injection - усъвършенствана техника за инжектиране на зловреден софтуер, която също се използва от BlackEnergy при атаките на украинските мрежи и Duqu при атаките на Stuxnet върху ирански ядрени съоръжения. Reflective DLL Injection зарежда злонамерен код, без да извиква нормалните обаждания в API на Windows, като по този начин заобикаля проверката на сигурността на кода, преди да се зареди в паметта.
• Криптирани DLL файлове, като по този начин се избягва откриването от общи антивирусни и пясъчни системи, тъй като те не могат да анализират криптирани файлове.
• Законни безплатни уеб хостинг сайтове за неговата командна и контролна инфраструктура. C&C сървърите са потенциална криза за атакуващите, тъй като разследващите често могат да идентифицират нападателите, използвайки данни за регистрация за C&C сървъра, получени чрез свободно достъпни инструменти като whois и PassiveTotal. От друга страна, безплатните уеб хостинг сайтове изискват малко или никаква информация за регистрация. Операция BugDrop използва безплатен уеб хостинг сайт, за да съхранява основния модул за злонамерен софтуер, който се изтегля на заразени жертви. За сравнение нападателите на Groundbait регистрираха и плащаха за собствените си злонамерени домейни и IP адреси.

Според CyberX, операция BugDrop силно имитира операция Groundbait, която беше открита през май 2016 г., насочена към проруски индивиди.