Злоумышленники распространяют кампанию кибершпионажа в Украине, следя за микрофонами ПК, чтобы тайно прослушивать частные разговоры и хранить украденные данные в Dropbox. Операция, получившая название «Операция BugDrop», была нацелена на критически важные объекты инфраструктуры, СМИ и научных исследователей.

Фирма CyberX CyberX подтвердила эти атаки, заявив, что операция BugDrop поразила не менее 70 жертв по всей Украине. По данным CyberX, операция по кибершпионажу началась не позднее июня 2016 года и по настоящее время. Компания сказала:

Эта операция направлена ​​на получение ряда конфиденциальных данных от ее целей, включая аудиозаписи разговоров, снимки экрана, документы и пароли. В отличие от видеозаписей, которые часто блокируются пользователями, просто помещающими ленту поверх объектива камеры, практически невозможно заблокировать микрофон вашего компьютера без физического доступа и отключения оборудования ПК.

Цели и методы

Некоторые примеры целей операции BugDrop включают в себя:

• Компания, которая разрабатывает системы дистанционного мониторинга для инфраструктуры нефтегазовых трубопроводов.
• Международная организация, которая отслеживает права человека, борьбу с терроризмом и кибератаки на критически важную инфраструктуру в Украине.
• Инжиниринговая компания, которая проектирует электрические подстанции, газораспределительные трубопроводы и водопроводные станции.
• Научно-исследовательский институт.
• Редакторы украинских газет.

В частности, атака была направлена ​​против жертв в украинских сепаратистских государствах Донецк и Луганск. В дополнение к Dropbox злоумышленники также используют следующие передовые тактики:

• Reflective DLL Injection, продвинутый метод для внедрения вредоносных программ, который также использовался BlackEnergy при украинских сеточных атаках и Duqu при атаках Stuxnet на иранские ядерные объекты. Reflective DLL Injection загружает вредоносный код, не вызывая обычные вызовы Windows API, тем самым обходя проверку безопасности кода перед его загрузкой в ​​память.
• Зашифрованные библиотеки DLL, что позволяет избежать обнаружения общими антивирусными системами и системами «песочницы», поскольку они не могут анализировать зашифрованные файлы.
• Легитимный бесплатный веб-хостинг для своей инфраструктуры управления. Серверы C & C представляют собой потенциальную ловушку для злоумышленников, поскольку следователи часто могут идентифицировать злоумышленников, используя регистрационные данные для сервера C & C, полученные с помощью свободно доступных инструментов, таких как whois и PassiveTotal. С другой стороны, бесплатные веб-хостинги не требуют никакой регистрационной информации. Операция BugDrop использует бесплатный веб-хостинг для хранения модуля основного вредоносного ПО, который загружается зараженным жертвам. Для сравнения, злоумышленники Groundbait зарегистрировались и оплатили свои собственные вредоносные домены и IP-адреса.

Согласно CyberX, операция BugDrop в значительной степени имитирует операцию Groundbait, которая была обнаружена в мае 2016 года для пророссийских людей.