Gli aggressori stanno diffondendo una campagna di spionaggio informatico in Ucraina spiando i microfoni del PC per ascoltare segretamente conversazioni private e archiviare i dati rubati su Dropbox. Soprannominata Operazione BugDrop, l'attacco ha preso di mira infrastrutture critiche, media e ricercatori scientifici.

La società di sicurezza informatica CyberX ha confermato gli attacchi, affermando che l'operazione BugDrop ha colpito almeno 70 vittime in tutta l'Ucraina. Secondo CyberX, l'operazione di spionaggio informatico è iniziata entro giugno 2016 fino ad oggi. La compagnia ha detto:

L'operazione mira a catturare una serie di informazioni sensibili dai suoi obiettivi, tra cui registrazioni audio di conversazioni, schermate, documenti e password. A differenza delle registrazioni video, che sono spesso bloccate dagli utenti semplicemente posizionando il nastro sull'obiettivo della fotocamera, è praticamente impossibile bloccare il microfono del computer senza accedere fisicamente e disabilitare l'hardware del PC.

Obiettivi e metodi

Alcuni esempi degli obiettivi dell'operazione BugDrop includono:

• Una società che progetta sistemi di monitoraggio remoto per infrastrutture di oleodotti e gasdotti.
• Un'organizzazione internazionale che controlla i diritti umani, l'antiterrorismo e gli attacchi informatici alle infrastrutture critiche in Ucraina.
• Una società di ingegneria che progetta sottostazioni elettriche, condutture di distribuzione del gas e impianti di approvvigionamento idrico.
• Un istituto di ricerca scientifica.
• Redattori di giornali ucraini.

Più specificamente, l'attacco ha preso di mira le vittime negli stati separatisti ucraini di Donetsk e Luhansk. Oltre a Dropbox, gli aggressori utilizzano anche le seguenti tattiche avanzate:

• Reflective DLL Injection, una tecnica avanzata per l'iniezione di malware che è stata utilizzata anche da BlackEnergy negli attacchi alla rete ucraina e da Duqu negli attacchi Stuxnet alle strutture nucleari iraniane. Reflective DLL Injection carica il codice dannoso senza chiamare le normali chiamate all'API di Windows, evitando così la verifica di sicurezza del codice prima che venga caricato in memoria.
• DLL crittografate, evitando così il rilevamento da parte dei comuni sistemi antivirus e sandbox perché non sono in grado di analizzare i file crittografati.
• Siti di web hosting gratuiti legittimi per la sua infrastruttura di comando e controllo. I server C&C rappresentano un potenziale trabocchetto per gli aggressori poiché gli investigatori possono spesso identificare gli aggressori utilizzando i dettagli di registrazione per il server C&C ottenuti tramite strumenti liberamente disponibili come whois e PassiveTotal. I siti di web hosting gratuiti, d'altra parte, richiedono poche o nessuna informazione di registrazione. Operazione BugDrop utilizza un sito di hosting Web gratuito per archiviare il modulo malware principale che viene scaricato dalle vittime infette. In confronto, gli aggressori di Groundbait si sono registrati e pagati per i propri domini malevoli e destinatari IP.

Secondo CyberX, l'Operazione BugDrop imita pesantemente l'Operazione Groundbait che è stata scoperta nel maggio 2016 e rivolta a persone filo-russe.