Angripere sprer en cyber-spionasje-kampanje i Ukraina ved å spionere på PC-mikrofoner for å hemmelighet høre på private samtaler og lagre stjålne data på Dropbox. Anklaget ble kalt Operation BugDrop, og har målrettet kritisk infrastruktur, medier og vitenskapelige forskere.

Cybersecurity-firmaet CyberX bekreftet angrepene og sa at Operation BugDrop har truffet minst 70 ofre over hele Ukraina. I følge CyberX startet cyber-spionasje-operasjonen senest i juni 2016 fram til i dag. Selskapet sa:

Operasjonen søker å fange en rekke sensitiv informasjon fra sine mål, inkludert lydopptak av samtaler, skjermbilder, dokumenter og passord. I motsetning til videoopptak, som ofte blokkeres av brukere som bare legger tape over kameralinsen, er det praktisk talt umulig å blokkere datamaskinens mikrofon uten fysisk tilgang til og deaktivering av PC-maskinvaren.

Mål og metoder

Noen eksempler på Operation BugDrops mål inkluderer:

• Et selskap som designer fjernovervåkningssystemer for olje- og gassrørledningsinfrastrukturer.
• En internasjonal organisasjon som overvåker menneskerettigheter, terrorbekjempelse og nettangrep på kritisk infrastruktur i Ukraina.
• Et ingeniørselskap som designer elektriske transformatorstasjoner, gassfordelingsrørledninger og vannforsyningsanlegg.
• Et vitenskapelig forskningsinstitutt.
• Redaktører av ukrainske aviser.

Mer spesifikt målrettet angrepet ofrene i Ukrainas separatiststater Donetsk og Luhansk. I tillegg til Dropbox bruker angriperne også følgende avanserte taktikker:

• Reflective DLL Injection, en avansert teknikk for å injisere skadelig programvare som også ble brukt av BlackEnergy i de ukrainske nettangrepene og av Duqu i Stuxnet-angrepene på iranske kjernefysiske anlegg. Reflekterende DLL-injeksjon laster inn ondsinnet kode uten å ringe de vanlige Windows API-anropene, og omgår dermed sikkerhetsbekreftelse av koden før den blir lastet inn i minnet.
• Krypterte DLL-er, og unngår derved deteksjon av vanlige antivirus- og sandboksingssystemer fordi de ikke kan analysere krypterte filer.
• Legitime gratis webhotellsteder for sin kommando-og-kontroll infrastruktur. C & C-servere er en potensiell fallgruve for angripere, da etterforskere ofte kan identifisere angripere ved å bruke registreringsdetaljer for C & C-serveren oppnådd via fritt tilgjengelige verktøy som whois og PassiveTotal. Gratis webhotell krever derimot liten eller ingen registreringsinformasjon. Operation BugDrop bruker et gratis webhotell for å lagre kjernemodulene for skadelig programvare som blir lastet ned til infiserte ofre. Til sammenligning registrerte Groundbait-angriperne og betalte for sine egne ondsinnede domener og IP-adressater.

I følge CyberX etterligner Operation BugDrop kraftig Operation Groundbait som ble oppdaget i mai 2016 rettet mot pro-russiske individer.