Uzbrucēji izplata kibernoziegumu kampaņu Ukrainā, izspiegojot datoru mikrofonus, lai slepeni noklausītos privātās sarunas un glabātu nozagtos datus Dropbox. Dublēta operācija BugDrop, uzbrukums ir vērsts uz kritisko infrastruktūru, plašsaziņas līdzekļiem un zinātniskajiem pētniekiem.

Kiberdrošības firma CyberX apstiprināja uzbrukumus, sakot, ka operācija BugDrop ir skārusi vismaz 70 upurus visā Ukrainā. Saskaņā ar CyberX teikto, kibernoziegumu operācija sākās ne vēlāk kā 2016. gada jūnijā līdz pat šodienai. Uzņēmums teica:

Operācijas mērķis ir uztvert sensitīvu informāciju no saviem mērķiem, ieskaitot sarunu audioierakstus, ekrānuzņēmumus, dokumentus un paroles. Atšķirībā no video ierakstiem, kurus lietotāji bieži bloķē, vienkārši ievietojot lenti virs kameras objektīva, ir praktiski neiespējami bloķēt datora mikrofonu, fiziski nepiekļūstot un atspējojot datora aparatūru.

Mērķi un metodes

Daži operācijas BugDrop mērķu piemēri:

• Uzņēmums, kas projektē tālvadības novērošanas sistēmas naftas un gāzes cauruļvadu infrastruktūrai.
• Starptautiska organizācija, kas uzrauga cilvēktiesības, terorisma apkarošanu un kiberuzbrukumus kritiskajai infrastruktūrai Ukrainā.
• Inženiertehniskais uzņēmums, kas projektē elektriskās apakšstacijas, gāzes sadales cauruļvadus un ūdensapgādes iekārtas.
• Zinātniskās pētniecības institūts.
• Ukrainas avīžu redaktori.

Konkrētāk, uzbrukums bija vērsts uz upuriem Ukrainas separātiskajās valstīs Doņeckā un Luhanskā. Papildus Dropbox uzbrucēji izmanto arī šo moderno taktiku:

• Reflective DLL Injection - uzlabota ļaundabīgās programmatūras injicēšanas tehnika, kuru BlackEnergy izmantoja arī Ukrainas tīkla uzbrukumos un Duqu Stuxnet uzbrukumos Irānas kodoliekārtām. Atstarojoša DLL injekcija ielādē ļaunprātīgu kodu, neizsaucot parastos Windows API zvanus, tādējādi apejot koda drošības pārbaudi, pirms tā tiek ielādēta atmiņā.
• Šifrēti DLL, tādējādi izvairoties no atklāšanas ar parastām pretvīrusu un smilšu kastes sistēmām, jo ​​viņi nespēj analizēt šifrētus failus.
• Likumīgas bezmaksas tīmekļa mitināšanas vietnes tās vadības un kontroles infrastruktūrai. C&C serveri ir potenciāls uzbrucēju trūkums, jo izmeklētāji bieži var identificēt uzbrucējus, izmantojot C&C servera reģistrācijas informāciju, kas iegūta, izmantojot brīvi pieejamus rīkus, piemēram, WHOIS un PassiveTotal. No otras puses, bezmaksas tīmekļa mitināšanas vietnēm ir nepieciešama maza reģistrācijas informācija vai tās nav vispār. Operācija BugDrop izmanto bezmaksas tīmekļa mitināšanas vietni, lai saglabātu galveno ļaundabīgās programmatūras moduli, kas tiek lejupielādēts inficētiem upuriem. Salīdzinājumam - Groundbait uzbrucēji reģistrējās un samaksāja par saviem kaitīgajiem domēniem un IP adresātiem.

Saskaņā ar CyberX teikto, operācija BugDrop smagi atdarina operāciju Groundbait, kas tika atklāta 2016. gada maijā un mērķēja uz prokrieviskām personām.