Những kẻ tấn công đang lan truyền một chiến dịch gián điệp mạng ở Ukraine bằng cách theo dõi micro PC để bí mật nghe các cuộc trò chuyện riêng tư và lưu trữ dữ liệu bị đánh cắp trên Dropbox. Được đặt tên là Chiến dịch BugDrop, cuộc tấn công đã nhắm vào các cơ sở hạ tầng, phương tiện truyền thông và các nhà nghiên cứu khoa học quan trọng.

Công ty an ninh mạng CyberX đã xác nhận các cuộc tấn công, cho biết Chiến dịch BugDrop đã tấn công ít nhất 70 nạn nhân trên khắp Ukraine. Theo CyberX, hoạt động gián điệp mạng bắt đầu không muộn hơn tháng 6 năm 2016 cho đến nay. Công ty cho biết:

Hoạt động tìm cách thu thập một loạt thông tin nhạy cảm từ các mục tiêu của nó, bao gồm các bản ghi âm cuộc hội thoại, ảnh chụp màn hình, tài liệu và mật khẩu. Không giống như các bản ghi video thường bị chặn bởi người dùng chỉ cần dán băng qua ống kính máy ảnh, hầu như không thể chặn micrô của máy tính của bạn mà không truy cập và vô hiệu hóa phần cứng PC.

Mục tiêu và phương pháp

Một số ví dụ về các mục tiêu của Chiến dịch BugDrop bao gồm:

• Một công ty thiết kế hệ thống giám sát từ xa cho cơ sở hạ tầng đường ống dẫn dầu khí.
• Một tổ chức quốc tế giám sát nhân quyền, chống khủng bố và tấn công mạng trên cơ sở hạ tầng quan trọng ở Ukraine.
• Một công ty kỹ thuật thiết kế các trạm điện, đường ống phân phối khí và nhà máy cấp nước.
• Một viện nghiên cứu khoa học.
• Biên tập viên của báo Ukraine.

Cụ thể hơn, vụ tấn công nhắm vào các nạn nhân ở các quốc gia ly khai Donetsk và Luhansk của Ukraine. Ngoài Dropbox, những kẻ tấn công cũng đang sử dụng các chiến thuật tiên tiến sau:

• Phản xạ DLL tiêm, một kỹ thuật tiên tiến để tiêm phần mềm độc hại cũng được BlackEnergy sử dụng trong các cuộc tấn công lưới của Ukraine và bởi Duqu trong các cuộc tấn công Stuxnet vào các cơ sở hạt nhân của Iran. Phản xạ DLL Tiêm tải mã độc mà không gọi các cuộc gọi API Windows thông thường, do đó bỏ qua xác minh bảo mật của mã trước khi được tải vào bộ nhớ.
• DLL được mã hóa, do đó tránh bị phát hiện bởi các hệ thống chống vi-rút và hộp cát thông thường vì chúng không thể phân tích các tệp được mã hóa.
• Các trang web lưu trữ web miễn phí hợp pháp cho cơ sở hạ tầng chỉ huy và kiểm soát của nó. Máy chủ C & C là một cạm bẫy tiềm tàng cho những kẻ tấn công vì các nhà điều tra thường có thể xác định kẻ tấn công bằng cách sử dụng chi tiết đăng ký cho máy chủ C & C có được thông qua các công cụ có sẵn miễn phí như whois và thụ động. Các trang web lưu trữ web miễn phí, mặt khác, yêu cầu ít hoặc không có thông tin đăng ký. Hoạt động BugDrop sử dụng một trang web lưu trữ web miễn phí để lưu trữ mô-đun phần mềm độc hại cốt lõi được tải xuống cho các nạn nhân bị nhiễm bệnh. Để so sánh, những kẻ tấn công Groundbait đã đăng ký và trả tiền cho các tên miền và địa chỉ IP độc hại của riêng chúng.

Theo CyberX, Chiến dịch BugDrop bắt chước rất nhiều Chiến dịch Groundbait được phát hiện vào tháng 5 năm 2016 nhắm vào các cá nhân thân Nga.