Ang mga atake ay kumakalat ng isang kampanya sa espiya ng cyber sa Ukraine sa pamamagitan ng pag-espiya sa mga PC ng mikropono upang palihim na makinig sa mga pribadong pag-uusap at mag-imbak ng mga ninakaw na data sa Dropbox. Tinaguriang Operation BugDrop, ang pag-atake ay naka-target sa kritikal na imprastruktura, media, at mga mananaliksik sa agham.

Kinumpirma ng kompanya ng Cybersecurity CyberX ang mga pag-atake, na sinasabing ang Operation BugDrop ay tumama ng hindi bababa sa 70 na biktima sa buong Ukraine. Ayon sa CyberX, ang operasyon ng cyber espionage ay nagsimula hindi lalampas sa Hunyo 2016 hanggang sa kasalukuyan. Sinabi ng kumpanya:

Ang operasyon ay naglalayong makuha ang isang saklaw ng sensitibong impormasyon mula sa mga target nito kabilang ang mga pag-record ng audio ng mga pag-uusap, mga shot ng screen, mga dokumento at mga password. Hindi tulad ng mga pag-record ng video, na madalas na hinarangan ng mga gumagamit na naglalagay lamang ng tape sa lens ng camera, halos imposible na harangan ang mikropono ng iyong computer nang walang pisikal na pag-access at pag-disable sa PC hardware.

Mga target at pamamaraan

Ang ilang mga halimbawa ng mga target ng Operation BugDrop ay kasama ang:

• Ang isang kumpanya na nagdidisenyo ng mga malalayong sistema ng pagsubaybay para sa mga imprastrukturang pipeline ng langis at gas.
• Isang pang-internasyonal na samahan na sinusubaybayan ang karapatang pantao, kontra-terorismo at cyberattacks sa kritikal na imprastruktura sa Ukraine.
• Ang isang kumpanya ng inhinyero na nagdidisenyo ng mga de-koryenteng kapalit, mga pipeline ng pamamahagi ng gas, at mga halaman ng supply ng tubig.
• Isang institusyong pang-agham sa pananaliksik.
• Mga editor ng pahayagan ng Ukrainiano.

Lalo na partikular, ang pag-atake ay nag-target sa mga biktima sa separatist ng Ukraine ng Donetsk at Luhansk. Bilang karagdagan sa Dropbox, ang mga umaatake ay gumagamit din ng mga sumusunod na advanced na taktika:

• Ang Reflective DLL Injection, isang advanced na pamamaraan para sa pag-iniksyon ng malware na ginamit din ng BlackEnergy sa pag-atake ng grid sa Ukrainya at ni Duqu sa pag-atake ng Stuxnet sa mga pasilidad na nuklear ng Iran. Ang Reflective DLL Injection ay naglo-load ng nakakahamak na code nang hindi tumatawag sa normal na mga tawag sa Windows API, sa gayon ay ang pag-iwas sa pag-verify ng seguridad ng code bago makuha ang memorya nito.
• Ang mga naka-encrypt na mga DLL, sa gayon maiiwasan ang pagtuklas ng mga karaniwang anti-virus at mga sistema ng sandbox dahil hindi nila masuri ang mga naka-encrypt na file.
• Ang lehitimong libreng mga web hosting site para sa imprastrukturang command-and-control nito. Ang mga server ng C&C ay isang potensyal na pitfall para sa mga umaatake dahil madalas na makilala ng mga investigator ang mga attackers na gumagamit ng mga detalye sa pagrehistro para sa C&C server na nakuha sa pamamagitan ng malayang magagamit na mga tool tulad ng whois at PassiveTotal. Ang mga libreng web hosting site, sa kabilang banda, ay nangangailangan ng kaunti o walang impormasyon sa pagrehistro. Ang Operation BugDrop ay gumagamit ng isang libreng web hosting site upang mai-imbak ang pangunahing module ng malware na mai-download sa mga nasalanta na biktima. Sa paghahambing, ang mga taga-atake ng Groundbait ay nakarehistro at nagbayad para sa kanilang sariling mga nakakahamak na domain at IP addressees.

Ayon sa CyberX, ang Operation BugDrop ay labis na ginagaya ang Operation Groundbait na natuklasan noong Mayo 2016 na nagta-target sa mga indibidwal na pro-Russian.