Els atacants estan difonent una campanya d’espionatge cibernètic a Ucraïna espiant micròfons de PC per escoltar secretament converses privades i emmagatzemar dades robades a Dropbox. L'operació anomenada BugDrop, l'atac s'ha orientat a infraestructures, mitjans de comunicació i investigadors científics crítics.

L'empresa de ciberseguretat CyberX va confirmar els atacs, dient que l'operació BugDrop ha atropellat almenys 70 víctimes a tota Ucraïna. Segons CyberX, l’operació d’espionatge cibernètic va començar fins a juny de 2016 fins a l’actualitat. La companyia va dir:

L’operació pretén capturar una gamma d’informació sensible dels seus objectius, incloent enregistraments d’àudio de converses, captures de pantalla, documents i contrasenyes. A diferència dels enregistraments de vídeo, que sovint són bloquejats pels usuaris simplement col·locant la cinta a sobre de la lent de la càmera, és pràcticament impossible bloquejar el micròfon de l’ordinador sense accedir i desactivar físicament el maquinari del PC.

Objectius i mètodes

Alguns exemples d'objectius de l'operació BugDrop són:

• Una empresa que dissenya sistemes de control remot d'infraestructures de gasoducte de petroli i gas.
• Una organització internacional que supervisa els drets humans, el terrorisme i els atacs ciberattics a les infraestructures crítiques a Ucraïna.
• Una empresa d’enginyeria que dissenya subestacions elèctriques, canonades de distribució de gas i plantes d’abastament d’aigua.
• Un institut de recerca científica.
• Editors de diaris ucraïnesos.

Més concretament, l’atac va dirigir víctimes als estats separatistes d’Ucraïna de Donetsk i Luhansk. A més de Dropbox, els atacants també utilitzen les següents tàctiques avançades:

• Reflective DLL Injection, una tècnica avançada per injectar programari maliciós que també va utilitzar BlackEnergy en els atacs de la xarxa ucraïnesa i Duqu en els atacs Stuxnet a les instal·lacions nuclears iranianes. Reflective DLL Injection carrega codi malintencionat sense fer trucades a les trucades normals de l'API de Windows, i això evita la verificació de seguretat del codi abans que es carregui a la memòria.
• DLL xifrats, evitant així la detecció mitjançant sistemes comuns d’antivirus i sandboxing perquè no poden analitzar fitxers xifrats.
• Llocs d'allotjament web gratuïts legítims per a la seva infraestructura de comandament i control. Els servidors de C&C són un problema potencial per als atacants, ja que sovint els investigadors poden identificar als atacants utilitzant detalls de registre del servidor C&C obtinguts a través d’eines de lliure accés com whois i PassiveTotal. Els llocs d'allotjament web gratuïts, en canvi, requereixen poca o cap informació de registre. Operació BugDrop utilitza un lloc d'allotjament web gratuït per emmagatzemar el mòdul principal de programari maliciós que es descarrega a les víctimes infectades. En comparació, els atacants de Groundbait es van registrar i van pagar pels seus propis dominis i destinataris maliciosos.

Segons CyberX, l’operació BugDrop imita molt l’operació Groundbait que es va descobrir el maig del 2016 dirigida a persones pro-russes.