Útočníci šíří na Ukrajině kybernetickou špionážní kampaň špionáží na PC mikrofonech, aby tajně poslouchali soukromé konverzace a ukradená data ukládali do Dropboxu. Útok s názvem BugDrop, útok zaměřil kritickou infrastrukturu, média a vědecké výzkumníky.

Kybernetická pojišťovna CyberX útoky potvrdila s tím, že operace BugDrop zasáhla nejméně 70 obětí na Ukrajině. Podle společnosti CyberX byla operace kybernetické špionáže zahájena nejpozději v červnu 2016 až do současnosti. Společnost uvedla:

Cílem této operace je zachytit řadu citlivých informací z jejích cílů, včetně zvukových záznamů konverzací, snímků obrazovky, dokumentů a hesel. Na rozdíl od videozáznamů, které uživatelé často umisťují pouhým umístěním pásky na objektiv fotoaparátu, je prakticky nemožné zablokovat mikrofon počítače bez fyzického přístupu a deaktivace hardwaru počítače.

Cíle a metody

Mezi příklady cílů Operace BugDrop patří:

• Společnost, která navrhuje dálkové monitorovací systémy pro ropovody a plynovody.
• Mezinárodní organizace, která monitoruje lidská práva, boj proti terorismu a kybernetické útoky na kritickou infrastrukturu na Ukrajině.
• Strojírenská společnost, která navrhuje elektrické rozvodny, plynovody a vodovody.
• Vědecký výzkumný ústav.
• Redaktoři ukrajinských novin.

Konkrétněji se útok zaměřil na oběti v ukrajinských separatistických státech Doněck a Luhansk. Útočníci kromě Dropboxu používají také následující pokročilé taktiky:

• Reflective DLL Injection, pokročilá technika pro injektování malwaru, kterou BlackEnergy použila také při útokech na ukrajinskou síť a Duqu při útocích Stuxnet na íránská jaderná zařízení. Reflexní injekce DLL načítá škodlivý kód bez volání běžných volání rozhraní API systému Windows, čímž obchází bezpečnostní ověření kódu před jeho načtením do paměti.
• Šifrované dll, čímž se zabrání detekci běžnými antivirovými a sandboxovými systémy, protože nemohou analyzovat šifrované soubory.
• Legitimní bezplatné webhostingové servery pro infrastrukturu velení a řízení. Servery C&C jsou potenciální hrozbou pro útočníky, protože vyšetřovatelé často identifikují útočníky pomocí registračních údajů pro server C&C získaných pomocí volně dostupných nástrojů, jako jsou whois a PassiveTotal. Na druhé straně webové stránky s bezplatným webhostingem vyžadují jen málo nebo žádné registrační údaje. Operace BugDrop používá bezplatný webový server k uložení jádra modulu malware, který se stáhne infikovaným obětem. Oproti tomu útočníci Groundbait se zaregistrovali a zaplatili za své škodlivé domény a adresy IP.

Podle CyberX, operace BugDrop silně napodobuje Operation krmení, které bylo objeveno v květnu 2016 zaměřené na pro-ruské jedince.