Зловмисники поширюють кібершпигунську кампанію в Україні, шпигуючи на мікрофони ПК, щоб таємно слухати приватні розмови та зберігати викрадені дані на Dropbox. Атака, що отримала назву "Операція BugDrop", націлена на критичну інфраструктуру, засоби масової інформації та наукових дослідників.

Фірма з питань кібербезпеки CyberX підтвердила напади, заявивши, що операція BugDrop вразила щонайменше 70 жертв по всій Україні. За інформацією CyberX, операція з кібер-шпигунства розпочалася не пізніше червня 2016 року. Компанія сказала:

Операція прагне захопити цілий спектр конфіденційної інформації із своїх цілей, включаючи аудіозаписи розмов, знімки екрана, документи та паролі. На відміну від відеозаписів, які користувачі часто блокують, просто розміщуючи стрічку над об’єктивом камери, практично неможливо заблокувати мікрофон комп'ютера, не надаючи фізичному доступу та відключення апаратного забезпечення ПК.

Цілі та методи

Деякі приклади цілей BugDrop:

• Компанія, яка розробляє системи віддаленого моніторингу інфраструктури нафто- та газопроводу.
• Міжнародна організація, яка здійснює моніторинг прав людини, протидії тероризму та кібератак на критичну інфраструктуру в Україні.
• Інженерна компанія, яка проектує електричні підстанції, газорозподільні трубопроводи та водопровідні установки.
• Науково-дослідний інститут.
• Редактори українських газет.

Більш конкретно, напад спрямований на жертв у сепаратистських державах України Донецьк та Луганськ. Крім Dropbox, зловмисники також використовують наступні вдосконалені тактики:

• Reflective DLL Injection - вдосконалена методика впорскування зловмисного програмного забезпечення, яку також використовували BlackEnergy в українських сітках та Duqu в атаках Stuxnet на іранські ядерні об'єкти. Відбивна DLL ін'єкція завантажує шкідливий код, не викликаючи звичайні виклики API Windows, тим самим минаючи перевірку безпеки коду до завантаження його в пам'ять.
• Зашифровані DLL, тим самим уникнути виявлення загальними антивірусними та пісочницькими системами, оскільки вони не в змозі проаналізувати зашифровані файли.
• Законний безкоштовний веб-хостинг-сайти для його командно-контрольної інфраструктури. Сервери C&C є потенційною проблемою для зловмисників, оскільки слідчі часто можуть ідентифікувати зловмисників, використовуючи дані реєстрації для сервера C&C, отримані за допомогою вільно доступних інструментів, таких як whois та PassiveTotal. З іншого боку, безкоштовні веб-сайти для хостингу не потребують реєстраційної інформації. Операція BugDrop використовує безкоштовний веб-сайт хостингу для зберігання основного модуля зловмисного програмного забезпечення, яке завантажується зараженими жертвами. Для порівняння, зловмисники Groundbait зареєстрували та оплатили власні шкідливі домени та IP-адресатів.

За інформацією CyberX, операція BugDrop сильно імітує операцію Groundbait, яка була виявлена ​​в травні 2016 року, спрямована на проросійських осіб.