Napadalci širijo kampanjo kibernetskega vohunjenja v Ukrajini, tako da vohunijo za računalnikom mikrofona, da bi na skrivaj poslušali zasebne pogovore in shranjevali ukradene podatke na Dropboxu. Napad z operacijo BugDrop je napad usmeril na kritično infrastrukturo, medije in znanstvene raziskovalce.

Podjetje za spletno varnost CyberX je potrdilo napade, češ da je operacija BugDrop prizadela najmanj 70 žrtev po vsej Ukrajini. Po navedbah CyberX-a se je operacija kibernetskega vohunjenja začela najpozneje junija 2016 do danes. Družba je rekla:

Cilj operacije je zajeti vrsto občutljivih informacij iz svojih ciljev, vključno z zvočnimi posnetki pogovorov, posnetki zaslona, ​​dokumenti in gesli. Za razliko od video posnetkov, ki jih uporabniki pogosto blokirajo, tako da preprosto postavijo trak čez objektiv fotoaparata, je skoraj nemogoče blokirati mikrofon vašega računalnika, ne da bi fizično dostopali do računalniške opreme in onemogočili njeno strojno opremo.

Cilji in metode

Nekaj ​​primerov ciljev operacije BugDrop vključuje:

• Podjetje, ki načrtuje sisteme za daljinsko spremljanje infrastrukture za nafto in plinovod.
• Mednarodna organizacija, ki nadzira človekove pravice, protiterorizem in kibernetske napade na kritično infrastrukturo v Ukrajini.
• Inženirsko podjetje, ki načrtuje električne podpostaje, plinovode in vodovodne naprave.
• Znanstveno-raziskovalni inštitut.
• Uredniki ukrajinskih časopisov.

Natančneje, napad je bil namenjen žrtvam ukrajinskih držav Ukrajine Donjeck in Luhansk. Poleg Dropboxa napadalci uporabljajo tudi naslednje napredne taktike:

• Reflective DLL Injection, napredna tehnika za vbrizgavanje zlonamerne programske opreme, ki jo je BlackEnergy uporabljal tudi pri napadih na ukrajinsko omrežje in Duqu v napadih Stuxnet na iranske jedrske objekte. Reflective DLL Injection naloži zlonamerno kodo brez klica običajnih klicev API-ja Windows in tako zaobide varnostno preverjanje kode, preden se naloži v pomnilnik.
• Šifrirane DLL datoteke, s čimer se izognete odkrivanju s skupnimi protivirusnimi in peskovnimi sistemi, ker ne morejo analizirati šifriranih datotek.
• Zakonita brezplačna spletna spletna mesta za svojo infrastrukturo za vodenje in nadzor. C&C strežniki so potencialna ovira za napadalce, saj preiskovalci lahko pogosto identificirajo napadalce z uporabo podatkov o registraciji za C&C strežnik, pridobljenih prek prosto dostopnih orodij, kot sta whois in PassiveTotal. Po drugi strani pa brezplačna spletna gostovanja zahtevajo malo ali nič registracijske informacije. Delovanje BugDrop uporablja brezplačno spletno gostovanje za shranjevanje osnovnega modula zlonamerne programske opreme, ki se prenese na okužene žrtve. V primerjavi s tem so napadalci Groundbaita registrirali in plačali za svoje zlonamerne domene in IP-naslove.

Po navedbah CyberX-a operacija BugDrop močno posnema operacijo Groundbait, ki so jo odkrili maja 2016 in je bila namenjena proruskim posameznikom.