A támadók számítógépes kémkedési kampányt terjesztenek Ukrajnában a számítógépes mikrofonok kémkedésével annak érdekében, hogy titokban hallgassák meg a magánbeszélgetéseket és tárolják az ellopott adatokat a Dropboxon. A BugDrop műveletnek átdugva a támadás a kritikus infrastruktúrát, a médiát és a tudományos kutatókat célozta meg.

A kiberbiztonsági cég, a CyberX megerősítette a támadásokat, mondván, hogy a BugDrop művelet legalább 70 áldozatot ért el Ukrajnában. A CyberX szerint a számítógépes kémkedés mûködése legkésõbb 2016 júniusában kezdõdött a mai napig. A cég szerint:

A művelet célja érzékeny információk begyűjtése a célokról, beleértve a beszélgetések hangfelvételeit, képernyőképeket, dokumentumokat és jelszavakat. A videofelvételekkel ellentétben, melyeket a felhasználók gyakran blokkolnak, egyszerűen csak a kamera lencséjére helyezve szalagot, gyakorlatilag lehetetlen letiltani a számítógép mikrofonját a számítógép hardverének fizikai elérése és letiltása nélkül.

Célok és módszerek

Néhány példa a BugDrop művelet céljaira:

• Egy olyan társaság, amely távfelügyeleti rendszereket tervez az olaj- és gázvezeték-infrastruktúrák számára.
• Nemzetközi szervezet, amely figyelemmel kíséri az emberi jogokat, a terrorizmus elleni küzdelmet és az ukrán kritikus infrastruktúra kiberbotrányait.
• Mérnöki vállalat, amely villamos alállomásokat, gázelosztó vezetékeket és vízellátó berendezéseket tervez.
• Tudományos kutatóintézet.
• Az ukrán újságok szerkesztői.

Pontosabban, a támadás az ukrán szeparista államok, Donyeck és Luhanszk áldozatait célozta meg. A Dropbox mellett a támadók a következő fejlett taktikákat is használják:

• Reflective DLL Injection - fejlett technika a rosszindulatú programok befecskendezéséhez, amelyet a BlackEnergy az ukrán hálózati támadásokban és a Duqu is használt az iráni nukleáris létesítményekkel szembeni Stuxnet támadások során. A fényvisszaverő DLL befecskendezés rosszindulatú kódot tölt be anélkül, hogy meghívná a normál Windows API hívásokat, ezáltal megkerülné a kód biztonsági ellenőrzését, mielőtt a memóriába betöltené.
• Titkosított DLL-k, elkerülve ezáltal az általános vírusvédelmi és sandboxing rendszerek általi észlelést, mivel nem képesek titkosított fájlok elemzésére.
• Jogos ingyenes web hosting webhelyek a parancs- és irányító infrastruktúrájához. A C&C szerverek potenciális buktatók lehetnek a támadók számára, mivel a nyomozók gyakran azonosíthatják a támadókat a C&C szerver regisztrációjának adataival, amelyeket szabadon elérhető eszközök, például a WHOIS és a PassiveTotal segítségével szerezhetnek be. Az ingyenes web hosting webhelyek viszont kevés vagy egyáltalán nem igényelnek regisztrációs információkat. A BugDrop művelet egy ingyenes web hosting webhelyet tárol az alapvető malware modul tárolására, amelyet letölt a fertőzött áldozatok számára. Összehasonlításképpen: a Groundbait támadók regisztrálták és megfizették a saját rosszindulatú domainjeiket és IP-címzetteiket.

A CyberX szerint a BugDrop művelet erősen utánozza a Groundbait műveletet, amelyet 2016. májusában fedeztek fel az oroszországi személyek ellen.