Užpuolikai Ukrainoje platina kibernetinio šnipinėjimo kampaniją, šnipinėdami kompiuterio mikrofonus, kad galėtų slaptai klausytis privačių pokalbių ir saugoti pavogtus duomenis „Dropbox“. Paskelbta „BugDrop“ operacija, ji buvo nukreipta į kritinę infrastruktūrą, žiniasklaidą ir mokslo tyrėjus.

Kibernetinio saugumo įmonė „CyberX“ patvirtino išpuolius sakydama, kad operacija „BugDrop“ smogė mažiausiai 70 aukų visoje Ukrainoje. „CyberX“ duomenimis, kibernetinis šnipinėjimas buvo pradėtas ne vėliau kaip 2016 m. Birželio mėn. Bendrovė teigė:

Operacija siekiama užfiksuoti įvairią neskelbtiną informaciją iš savo tikslų, įskaitant pokalbių garso įrašus, ekrano kopijas, dokumentus ir slaptažodžius. Skirtingai nuo vaizdo įrašų, kuriuos dažnai blokuoja vartotojai, tiesiog padėję juostą virš fotoaparato objektyvo, praktiškai neįmanoma užblokuoti kompiuterio mikrofono fiziškai neprieinant ir neišjungiant kompiuterio aparatūros.

Tikslai ir metodai

Keletas „BugDrop“ operacijos tikslų pavyzdžių:

• Bendrovė, kurianti nuotolinio naftos ir dujų vamzdynų infrastruktūros stebėjimo sistemas.
• Tarptautinė organizacija, stebinti žmogaus teises, kovą su terorizmu ir kibernetinius išpuolius kritinėje Ukrainos infrastruktūroje.
• Inžinerijos įmonė, projektuojanti elektros pastotes, dujų paskirstymo vamzdynus ir vandens tiekimo įrenginius.
• Mokslinių tyrimų institutas.
• Ukrainos laikraščių redaktoriai.

Tiksliau sakant, išpuolis buvo skirtas aukoms Ukrainos separatistinėse Donecko ir Luhansko valstijose. Be „Dropbox“, užpuolikai taip pat naudojasi šia pažangia taktika:

• Reflective DLL Injection - pažangioji kenkėjiškų programų įšvirkštimo technika, kurią taip pat naudojo „BlackEnergy“ Ukrainos tinklų atakose ir „Duqu“ Stuxnet išpuoliuose prieš Irano branduolinius įrenginius. Šviesos atspindys „DLL Injection“ įkelia kenkėjišką kodą, neskambindamas įprastų „Windows API“ skambučių, taip apeidamas kodo saugos patikrinimą prieš įkeliant jį į atmintį.
• Užšifruoti DLL, taip išvengiant aptikimo įprastomis antivirusinėmis ir smėlio dėžės sistemomis, nes jie negali analizuoti užšifruotų failų.
• Teisėtos nemokamos interneto valdymo svetainės, skirtos jos valdymo ir valdymo infrastruktūrai. C&C serveriai yra potenciali užpuolikų rizika, nes tyrėjai dažnai gali atpažinti užpuolikus, naudodamiesi C&C serverio registracijos informacija, gauta per laisvai prieinamus įrankius, tokius kaip Whois ir PassiveTotal. Kita vertus, nemokamoms interneto prieglobos svetainėms reikalinga mažai registracijos informacijos arba jos nereikia. Operacija „BugDrop“ naudoja nemokamą žiniatinklio prieglobos svetainę, kurioje saugomas pagrindinis kenkėjiškų programų modulis, kurį galima atsisiųsti užkrėstoms aukoms. Palyginimui, „Groundbait“ užpuolikai užregistravo ir sumokėjo už savo kenkėjiškus domenus ir IP adresatus.

Anot „CyberX“, operacija „BugDrop“ labai imituoja operaciją „Groundbait“, kuri buvo aptikta 2016 m. Gegužės mėn., Skirta prorusiškiems asmenims.