Οι επιτιθέμενοι επεκτείνουν μια εκστρατεία κατασκοπείας στον κυβερνοχώρο στην Ουκρανία, κατασκοπεύοντας τα μικρόφωνα PC, προκειμένου να ακούσουν κρυφά ιδιωτικές συνομιλίες και να αποθηκεύσουν κλεμμένα δεδομένα στο Dropbox. Ονομάστηκε η επιχείρηση BugDrop, η επίθεση έχει στοχεύσει στην κρίσιμη υποδομή, στα μέσα ενημέρωσης και στους επιστημονικούς ερευνητές.

Η CyberX, εταιρεία Cyber-security, επιβεβαίωσε τις επιθέσεις, λέγοντας ότι η επιχείρηση BugDrop έχει πλήξει τουλάχιστον 70 θύματα σε όλη την Ουκρανία. Σύμφωνα με το CyberX, η επιχείρηση κατασκοπίας στον κυβερνοχώρο ξεκίνησε το αργότερο μέχρι τον Ιούνιο του 2016 μέχρι σήμερα. Η εταιρεία είπε:

Η λειτουργία επιδιώκει να συλλάβει μια σειρά από ευαίσθητες πληροφορίες από τους στόχους της, συμπεριλαμβανομένων των ηχογραφήσεων των συνομιλιών, των στιγμιότυπων οθόνης, των εγγράφων και των κωδικών πρόσβασης. Σε αντίθεση με τις εγγραφές βίντεο, οι οποίες συχνά παρεμποδίζονται από τους χρήστες που απλά τοποθετούν ταινία πάνω στον φακό της κάμερας, είναι σχεδόν αδύνατο να αποκλείσετε το μικρόφωνο του υπολογιστή σας χωρίς φυσική πρόσβαση και απενεργοποίηση του υλικού του υπολογιστή.

Στόχοι και μέθοδοι

Μερικά παραδείγματα των στόχων της λειτουργίας του BugDrop περιλαμβάνουν:

• Μια εταιρεία που σχεδιάζει συστήματα απομακρυσμένης παρακολούθησης για υποδομές αγωγών πετρελαίου και φυσικού αερίου.
• Διεθνής οργανισμός που παρακολουθεί τα ανθρώπινα δικαιώματα, την καταπολέμηση της τρομοκρατίας και τις κυβερνοεπιτάξεις σχετικά με τις υποδομές ζωτικής σημασίας στην Ουκρανία.
• Μια μηχανολογική εταιρεία που σχεδιάζει ηλεκτρικούς υποσταθμούς, αγωγούς διανομής αερίου και μονάδες υδροδότησης.
• Ένα ινστιτούτο επιστημονικής έρευνας.
• Συντάκτες ουκρανικών εφημερίδων.

Πιο συγκεκριμένα, η επίθεση στόχευσε τα θύματα στα αυτονομιστικά κράτη της Ουκρανίας του Ντόνετσκ και του Λουάνσκ. Εκτός από το Dropbox, οι επιτιθέμενοι χρησιμοποιούν επίσης τις ακόλουθες προηγμένες τακτικές:

• Ανακλαστική DLL Injection, μια προηγμένη τεχνική για την έγχυση κακόβουλου λογισμικού που χρησιμοποιήθηκε επίσης από την BlackEnergy στις ουκρανικές επιθέσεις δικτύου και από την Duqu στις επιθέσεις Stuxnet στις ιρανικές πυρηνικές εγκαταστάσεις. Το Ανακλαστικό Έγχυμα DLL φορτώνει κακόβουλο κώδικα χωρίς να καλέσει τις κανονικές κλήσεις API των Windows, παρακάμπτοντας έτσι την επαλήθευση ασφαλείας του κώδικα πριν να φορτωθεί στη μνήμη.
• Κρυπτογραφημένα αρχεία DLL, αποφεύγοντας έτσι την ανίχνευση με κοινά συστήματα προστασίας από ιούς και sandboxing επειδή δεν είναι σε θέση να αναλύσουν κρυπτογραφημένα αρχεία.
• Δικαιολογημένες δωρεάν ιστοσελίδες φιλοξενίας για την υποδομή εντολών και ελέγχου. Οι διακομιστές C & C αποτελούν πιθανό κυνήγι για τους επιτιθέμενους, καθώς οι ερευνητές μπορούν συχνά να εντοπίζουν τους εισβολείς χρησιμοποιώντας στοιχεία εγγραφής για τον διακομιστή C & C που λαμβάνονται μέσω εργαλείων ελεύθερης διαθεσιμότητας όπως whois και PassiveTotal. Οι ελεύθερες ιστοσελίδες φιλοξενίας, από την άλλη πλευρά, απαιτούν ελάχιστες ή καθόλου πληροφορίες εγγραφής. Η λειτουργία BugDrop χρησιμοποιεί έναν ελεύθερο ιστότοπο φιλοξενίας για την αποθήκευση της βασικής ενότητας κακόβουλου λογισμικού που λαμβάνεται στα μολυσμένα θύματα. Συγκριτικά, οι εισβολείς του Groundbait καταχώρισαν και πληρώθηκαν για τους δικούς τους κακόβουλους τομείς και τους αποδέκτες IP.

Σύμφωνα με το CyberX, η λειτουργία BugDrop μιμείται σε μεγάλο βαθμό το Operation Groundbait το οποίο ανακαλύφθηκε τον Μάιο του 2016 και στοχεύει στα προρωσικά άτομα.