Hyökkääjät levittävät tietovakoilukampanjaa Ukrainassa vakoilemalla PC-mikrofoneja kuunnellakseen salaa yksityisiä keskusteluja ja varastoidaksesi tietoja Dropboxiin. Dubug Operation BugDrop -hyökkäys on kohdistunut kriittiseen infrastruktuuriin, mediaan ja tieteellisiin tutkijoihin.

Kyberturvallisuusyritys CyberX vahvisti hyökkäykset sanomalla, että operaatio BugDrop on kärsinyt vähintään 70 uhria kaikkialla Ukrainassa. CyberX: n mukaan verkkovakoilutoiminta aloitettiin viimeistään kesäkuussa 2016 nykypäivään saakka. Yhtiö sanoi:

Operaation tarkoituksena on kaapata kohdealueelta arkaluonteisia tietoja, mukaan lukien keskustelujen äänitallenteet, näyttökuvat, asiakirjat ja salasanat. Toisin kuin videotallenteet, joita käyttäjät usein estävät yksinkertaisesti asettamalla nauhaa kameran linssin päälle, on käytännössä mahdotonta estää tietokoneesi mikrofonia pääsemättä fyysisesti tietokoneen laitteistoon ja poistamatta sitä käytöstä.

Tavoitteet ja menetelmät

Joitakin esimerkkejä Operation BugDropin tavoitteista ovat:

• Yritys, joka suunnittelee öljy- ja kaasuputkien infrastruktuurien etävalvontajärjestelmiä.
• Kansainvälinen järjestö, joka seuraa ihmisoikeuksia, terrorismin torjuntaa ja kyberhyökkäyksiä Ukrainan kriittiseen infrastruktuuriin.
• Suunnitteluyritys, joka suunnittelee sähköasemia, kaasunjakeluputkistoja ja vedenjakelulaitoksia.
• Tieteellinen tutkimuslaitos.
• Ukrainan sanomalehtien toimittajat.

Tarkemmin sanottuna hyökkäys kohdistui uhreihin Ukrainan separatistivaltioissa Donetskissa ja Luhanskissa. Dropboxin lisäksi hyökkääjät käyttävät myös seuraavaa edistynyttä taktiikkaa:

• Reflective DLL Injection on edistyksellinen tekniikka haittaohjelmien injektoimiseksi. Sitä käytti myös BlackEnergy Ukrainan verkkohyökkäyksissä ja Duqu Stuxnetin hyökkäyksissä Iranin ydinlaitoksissa. Heijastava DLL-injektio lataa haitallisen koodin soittamatta normaaliin Windows API -puheluun, ohittaen siten koodin turvatarkastuksen ennen sen lataamista muistiin.
• Salatut DLL-tiedostot, jolloin vältetään havaitseminen yleisillä viruksentorjunta- ja hiekkalaatikkojärjestelmillä, koska ne eivät pysty analysoimaan salattuja tiedostoja.
• Lailliset ilmaiset web-sivustot sen komento- ja hallintainfrastruktuurille. C&C -palvelimet ovat potentiaalinen hyökkäys hyökkääjille, koska tutkijat voivat usein tunnistaa hyökkääjät käyttämällä C&C-palvelimen rekisteröintitietoja, jotka on saatu vapaasti saatavilla olevilla työkaluilla, kuten whois ja PassiveTotal. Ilmaiset web-hosting-sivustot puolestaan ​​vaativat vähän tai ei lainkaan rekisteröintitietoja. Operation BugDrop käyttää ilmaista web-hosting-sivustoa ydinhaittaohjelmoduulin tallentamiseen, joka ladataan tartunnan saaneille uhreille. Vertailun vuoksi Groundbaitin hyökkääjät rekisteröivät ja maksoivat omista haitallisista verkkotunnuksistaan ​​ja IP-osoitteistaan.

CyberX: n mukaan operaatio BugDrop jäljittelee voimakkaasti operaatiota Groundbait, joka löydettiin toukokuussa 2016 kohdentaen venäläisiä mielenkiintoisia henkilöitä.