Angribere spreder en cyber-spionage-kampagne i Ukraine ved at spionere på pc-mikrofoner for i hemmelighed at lytte til private samtaler og gemme stjålne data på Dropbox. Angivet Operation BugDrop, angrebet har målrettet kritisk infrastruktur, medier og videnskabelige forskere.

Cybersecurity-firma CyberX bekræftede angrebene og sagde Operation BugDrop har ramt mindst 70 ofre i hele Ukraine. Ifølge CyberX startede cyber-spionage-operationen senest i juni 2016 indtil i dag. Selskabet sagde:

Handlingen søger at fange en række følsomme oplysninger fra dens mål, herunder lydoptagelser af samtaler, skærmbilleder, dokumenter og adgangskoder. I modsætning til videooptagelser, som ofte blokeres af brugere, der blot placerer bånd over kameralinsen, er det næsten umuligt at blokere din computers mikrofon uden fysisk at få adgang til og deaktivere pc-hardware.

Mål og metoder

Nogle eksempler på Operation BugDrop's mål inkluderer:

• Et firma, der designer fjernovervågningssystemer til olie- og gasledningsinfrastrukturer.
• En international organisation, der overvåger menneskerettigheder, terrorbekæmpelse og cyberangreb på kritisk infrastruktur i Ukraine.
• Et ingeniørfirma, der designer elektriske transformatorstationer, gasfordelingsrørledninger og vandforsyningsanlæg.
• Et videnskabeligt forskningsinstitut.
• Redaktører af ukrainske aviser.

Mere specifikt var angrebet målrettet ofre i Ukraines separatistiske stater Donetsk og Luhansk. Foruden Dropbox bruger angribere også følgende avancerede taktikker:

• Reflekterende DLL-injektion, en avanceret teknik til injektion af malware, der også blev brugt af BlackEnergy i de ukrainske netangreb og af Duqu i Stuxnet-angrebene på iranske nukleare anlæg. Reflekterende DLL-injektion indlæser ondsindet kode uden at kalde de normale Windows API-opkald og omgå dermed sikkerhedsverifikation af koden, før den indlæses i hukommelsen.
• Krypterede DLL'er, hvorved man undgår detektering af almindelige antivirus- og sandboxingsystemer, fordi de ikke er i stand til at analysere krypterede filer.
• Legitime gratis webhostingsider til dens kommando-og-kontrolinfrastruktur. C & C-servere er en potentiel faldgrube for angribere, da efterforskere ofte kan identificere angribere ved hjælp af registreringsoplysninger til C&C-serveren opnået via frit tilgængelige værktøjer som whois og PassiveTotal. Gratis webhostingsider kræver på den anden side ringe eller ingen registreringsoplysninger. Operation BugDrop bruger et gratis webhostingsite til at gemme det centrale malware-modul, der downloades til inficerede ofre. Til sammenligning registrerede Groundbait-angribere og betalte for deres egne ondsindede domæner og IP-adressater.

Ifølge CyberX efterligner Operation BugDrop kraftigt Operation Groundbait, som blev opdaget i maj 2016 og målrettet mod pro-russiske individer.