ผู้โจมตีกำลังแพร่กระจายการจารกรรมทางไซเบอร์ในยูเครนโดยการสอดแนมไมโครโฟนในพีซีเพื่อฟังการสนทนาส่วนตัวและเก็บข้อมูลที่ถูกขโมยใน Dropbox Operation BugDrop ได้รับการขนานนามว่าเป็นเป้าหมายโครงสร้างพื้นฐานที่สำคัญสื่อและนักวิทยาศาสตร์

CyberX บริษัท ไซเบอร์รักษาความปลอดภัยยืนยันการโจมตีบอกว่าปฏิบัติการ BugDrop ได้ตีเหยื่ออย่างน้อย 70 คนทั่วประเทศยูเครน จากข้อมูลของ CyberX การปฏิบัติการจารกรรมทางไซเบอร์เริ่มขึ้นในเดือนมิถุนายน 2559 จนถึงปัจจุบัน บริษัท กล่าวว่า:

การดำเนินการพยายามที่จะจับช่วงของข้อมูลที่ละเอียดอ่อนจากเป้าหมายรวมถึงการบันทึกเสียงของการสนทนาภาพหน้าจอเอกสารและรหัสผ่าน ซึ่งแตกต่างจากการบันทึกวิดีโอซึ่งมักถูกบล็อกโดยผู้ใช้เพียงแค่วางเทปไว้เหนือเลนส์กล้องจึงแทบเป็นไปไม่ได้ที่จะปิดกั้นไมโครโฟนของคอมพิวเตอร์ของคุณโดยไม่ต้องเข้าถึงและปิดการใช้งานฮาร์ดแวร์พีซี

เป้าหมายและวิธีการ

ตัวอย่างเป้าหมายของ Operation BugDrop ได้แก่:

• บริษัท ที่ออกแบบระบบตรวจสอบระยะไกลสำหรับโครงสร้างพื้นฐานท่อส่งน้ำมันและก๊าซ
• องค์กรระหว่างประเทศที่ติดตามสิทธิมนุษยชนการต่อต้านการก่อการร้ายและการโจมตีทางไซเบอร์ในโครงสร้างพื้นฐานที่สำคัญในยูเครน
• บริษัท ด้านวิศวกรรมที่ออกแบบสถานีไฟฟ้าท่อส่งก๊าซและโรงงานน้ำประปา
• สถาบันวิจัยทางวิทยาศาสตร์
• บรรณาธิการของหนังสือพิมพ์ยูเครน

โดยเฉพาะอย่างยิ่งการโจมตีตกเป็นเป้าหมายในรัฐแบ่งแยกดินแดนของยูเครนโดเนตสค์และ Luhansk นอกเหนือจาก Dropbox แล้วผู้โจมตียังใช้กลยุทธ์ขั้นสูงต่อไปนี้:

• Reflective DLL Injection เป็นเทคนิคขั้นสูงสำหรับการฉีดมัลแวร์ที่ถูกใช้โดย BlackEnergy ในการโจมตีกริดยูเครนและโดย Duqu ในการโจมตี Stuxnet ในโรงงานนิวเคลียร์ของอิหร่าน Reflective DLL Injection จะโหลดรหัสที่เป็นอันตรายโดยไม่เรียกการเรียก Windows API ตามปกติดังนั้นจึงต้องผ่านการตรวจสอบความปลอดภัยของรหัสก่อนที่จะโหลดลงในหน่วยความจำ
• Encrypted DLLs ดังนั้นหลีกเลี่ยงการตรวจจับโดยระบบป้องกันไวรัสและแซนด์บ็อกซ์ทั่วไปเนื่องจากไม่สามารถวิเคราะห์ไฟล์ที่เข้ารหัสได้
• ฟรีเว็บโฮสติ้งที่ถูกต้องตามกฎหมายสำหรับโครงสร้างพื้นฐานคำสั่งและการควบคุม เซิร์ฟเวอร์ C&C เป็นอันตรายต่อผู้โจมตีเนื่องจากผู้ตรวจสอบสามารถระบุผู้โจมตีโดยใช้รายละเอียดการลงทะเบียนสำหรับเซิร์ฟเวอร์ C&C ที่ได้รับผ่านเครื่องมือที่มีให้ใช้ฟรีเช่น whois และ PassiveTotal ฟรีเว็บโฮสติ้งเว็บไซต์ตรงกันข้ามต้องมีข้อมูลการลงทะเบียนน้อยหรือไม่มีเลย Operation BugDrop ใช้เว็บไซต์โฮสต์ฟรีเพื่อจัดเก็บโมดูลมัลแวร์หลักที่ดาวน์โหลดไปยังผู้ที่ตกเป็นเหยื่อ ในการเปรียบเทียบผู้โจมตี Groundbait ลงทะเบียนและชำระเงินสำหรับโดเมนที่เป็นอันตรายและที่อยู่ IP ของตนเอง

จากข้อมูลของ CyberX ระบุว่า Operation BugDrop เลียนแบบ Operation Groundbait อย่างหนักซึ่งถูกค้นพบเมื่อเดือนพฤษภาคม 2559 โดยกำหนดเป้าหมายไปยังบุคคลที่เป็นมืออาชีพชาวรัสเซีย