Angripare sprider en cyber-spionage-kampanj i Ukraina genom att spionera på PC-mikrofoner för att i hemlighet lyssna på privata konversationer och lagra stulna data på Dropbox. Döpt Operation BugDrop, attacken har riktat kritisk infrastruktur, media och vetenskapliga forskare.

Cybersecurity-företaget CyberX bekräftade attackerna och säger Operation BugDrop har drabbat minst 70 offer i hela Ukraina. Enligt CyberX startade cyber-spionage-operationen senast i juni 2016 fram till nu. Företaget sa:

Åtgärden försöker fånga en rad känslig information från dess mål inklusive ljudinspelningar av konversationer, skärmbilder, dokument och lösenord. Till skillnad från videoinspelningar, som ofta blockeras av användare som helt enkelt lägger tejp över kameralinsen, är det praktiskt taget omöjligt att blockera din dators mikrofon utan att fysiskt komma åt eller inaktivera PC-hårdvaran.

Mål och metoder

Några exempel på Operation BugDrops mål inkluderar:

• Ett företag som designer fjärrövervakningssystem för olje- och gasledningsinfrastrukturer.
• En internationell organisation som övervakar mänskliga rättigheter, terrorism och cyberattacker på kritisk infrastruktur i Ukraina.
• Ett teknikföretag som designar elektriska transformatorstationer, gasdistributionsledningar och vattenförsörjningsanläggningar.
• Ett vetenskapligt forskningsinstitut.
• Redaktörer av ukrainska tidningar.

Mer specifikt riktade attacken offren i Ukrainas separatiststater Donetsk och Luhansk. Förutom Dropbox använder angriparna också följande avancerade taktik:

• Reflective DLL Injection, en avancerad teknik för att injicera skadlig programvara som också användes av BlackEnergy i de ukrainska nätattackerna och av Duqu i Stuxnet-attackerna mot iranska kärnkraftsanläggningar. Reflekterande DLL-injektion laddar skadlig kod utan att ringa de vanliga Windows API-anropen och därmed kringgå säkerhetsverifiering av koden innan den laddas i minnet.
• Krypterade DLL-filer och därmed undviker upptäckt av vanliga antivirus- och sandlådessystem eftersom de inte kan analysera krypterade filer.
• Legitima gratis webbhotell för dess kommando-och-kontrollinfrastruktur. C & C-servrar är en potentiell fallgrop för angripare eftersom utredare ofta kan identifiera angripare med registreringsinformation för C & C-servern erhållna via fritt tillgängliga verktyg som whois och PassiveTotal. Gratis webbhotellplatser kräver å andra sidan liten eller ingen registreringsinformation. Operation BugDrop använder en gratis webbhotell för att lagra kärnmodulens skadliga modul som laddas ner till infekterade offer. Som jämförelse registrerade Groundbait-angriparna och betalade för sina egna skadliga domäner och IP-adressater.

Enligt CyberX efterliknar Operation BugDrop kraftigt Operation Groundbait som upptäcktes i maj 2016 och riktade mot pro-ryska individer.