Os invasores estão divulgando uma campanha de espionagem cibernética na Ucrânia, espionando microfones de PC para ouvir secretamente conversas particulares e armazenar dados roubados no Dropbox. Apelidado de Operação BugDrop, o ataque teve como alvo infraestrutura crítica, mídia e pesquisadores científicos.

A empresa de segurança cibernética CyberX confirmou os ataques, dizendo que a Operação BugDrop atingiu pelo menos 70 vítimas em toda a Ucrânia. Segundo a CyberX, a operação de espionagem cibernética começou até junho de 2016 até o momento. A empresa disse:

A operação busca capturar uma variedade de informações confidenciais de seus alvos, incluindo gravações em áudio de conversas, capturas de tela, documentos e senhas. Ao contrário das gravações de vídeo, que geralmente são bloqueadas pelos usuários simplesmente colocando fita sobre a lente da câmera, é praticamente impossível bloquear o microfone do computador sem acessar e desativar fisicamente o hardware do PC.

Metas e métodos

Alguns exemplos dos objetivos da Operação BugDrop incluem:

• Uma empresa que projeta sistemas de monitoramento remoto para infra-estruturas de oleoduto e gás.
• Uma organização internacional que monitora direitos humanos, contra-terrorismo e ataques cibernéticos em infraestrutura crítica na Ucrânia.
• Uma empresa de engenharia que projeta subestações elétricas, gasodutos de distribuição de gás e estações de abastecimento de água.
• Um instituto de pesquisa científica.
• Editores de jornais ucranianos.

Mais especificamente, o ataque teve como alvo vítimas nos estados separatistas ucranianos de Donetsk e Luhansk. Além do Dropbox, os atacantes também estão usando as seguintes táticas avançadas:

• Injeção reflexiva de DLL, uma técnica avançada para injetar malware que também foi usada pelo BlackEnergy nos ataques à rede ucraniana e por Duqu nos ataques Stuxnet às instalações nucleares iranianas. A injeção reflexiva de DLL carrega código malicioso sem chamar as chamadas normais da API do Windows, ignorando a verificação de segurança do código antes que ele seja carregado na memória.
• DLLs criptografadas, evitando assim a detecção por sistemas antivírus e de área restrita comuns, porque não conseguem analisar arquivos criptografados.
• Sites legítimos de hospedagem gratuita para sua infraestrutura de comando e controle. Os servidores C&C são uma armadilha em potencial para os invasores, pois os investigadores geralmente podem identificar os invasores usando detalhes de registro para o servidor C&C obtidos por meio de ferramentas disponíveis gratuitamente, como whois e PassiveTotal. Por outro lado, sites gratuitos de hospedagem na web exigem pouca ou nenhuma informação de registro. A Operação BugDrop usa um site de hospedagem gratuito para armazenar o módulo principal de malware que é baixado para as vítimas infectadas. Em comparação, os invasores do Groundbait registraram e pagaram por seus próprios domínios maliciosos e endereços IP.

Segundo a CyberX, a Operação BugDrop imita fortemente a Operação Groundbait, que foi descoberta em maio de 2016 visando indivíduos pró-Rússia.