Aanvallers verspreiden een cyberspionagecampagne in Oekraïne door pc-microfoons te bespioneren om in het geheim naar privégesprekken te luisteren en gestolen gegevens op te slaan op Dropbox. Gesynchroniseerd Operation BugDrop, is de aanval gericht op kritieke infrastructuur, media en wetenschappelijke onderzoekers.

Cyberbeveiligingsbedrijf CyberX bevestigde de aanvallen en zei dat Operatie BugDrop minstens 70 slachtoffers heeft getroffen in Oekraïne. Volgens CyberX is de cyberspionage-operatie uiterlijk in juni 2016 gestart. Het bedrijf zei:

De operatie probeert een reeks gevoelige informatie van zijn doelen vast te leggen, waaronder audio-opnames van gesprekken, schermafbeeldingen, documenten en wachtwoorden. In tegenstelling tot video-opnamen, die vaak worden geblokkeerd door gebruikers die eenvoudig tape over de cameralens plaatsen, is het vrijwel onmogelijk om de microfoon van uw computer te blokkeren zonder fysiek toegang te krijgen tot de pc-hardware en deze uit te schakelen.

Doelen en methoden

Enkele voorbeelden van de doelen van Operation BugDrop zijn:

• Een bedrijf dat systemen voor monitoring op afstand ontwikkelt voor olie- en gaspijpleidinginfrastructuren.
• Een internationale organisatie die mensenrechten, terrorismebestrijding en cyberaanvallen op kritieke infrastructuur in Oekraïne bewaakt.
• Een ingenieursbureau dat elektrische onderstations, gasdistributiepijpleidingen en watervoorzieningsinstallaties ontwerpt.
• Een wetenschappelijk onderzoeksinstituut.
• Redacteuren van Oekraïense kranten.

Meer specifiek was de aanval gericht op slachtoffers in de separatistische staten Donetsk en Luhansk in Oekraïne. Naast Dropbox gebruiken de aanvallers ook de volgende geavanceerde tactieken:

• Reflective DLL Injection, een geavanceerde techniek voor het injecteren van malware die ook door BlackEnergy werd gebruikt in de Oekraïense netaanvallen en door Duqu in de Stuxnet-aanvallen op Iraanse nucleaire installaties. Reflective DLL Injection laadt kwaadaardige code zonder de normale Windows API-aanroepen aan te roepen, waardoor de beveiligingsverificatie van de code wordt omzeild voordat deze in het geheugen wordt geladen.
• Versleutelde DLL's, waardoor detectie door veelgebruikte antivirus- en sandboxing-systemen wordt vermeden omdat ze geen versleutelde bestanden kunnen analyseren.
• Legitieme gratis webhostingsites voor zijn command-and-control-infrastructuur. C & C-servers zijn een potentiële valkuil voor aanvallers, omdat onderzoekers aanvallers vaak kunnen identificeren met behulp van registratiegegevens voor de C & C-server die zijn verkregen via vrij beschikbare tools zoals whois en PassiveTotal. Gratis webhostingsites vereisen daarentegen weinig of geen registratie-informatie. Operatie BugDrop gebruikt een gratis webhostingsite om de kernmalwaremodule op te slaan die wordt gedownload naar geïnfecteerde slachtoffers. Ter vergelijking: de Groundbait-aanvallers registreerden en betaalden voor hun eigen kwaadaardige domeinen en IP-geadresseerden.

Volgens CyberX bootst Operation BugDrop in grote lijnen Operatie Groundbait na, dat in mei 2016 werd ontdekt en gericht was op pro-Russische individuen.