Angreifer verbreiten eine Cyberspionagekampagne in der Ukraine, indem sie PC-Mikrofone ausspionieren, um private Gespräche heimlich abzuhören und gestohlene Daten auf Dropbox zu speichern. Der Angriff, der als Operation BugDrop bezeichnet wird, zielt auf kritische Infrastrukturen, Medien und wissenschaftliche Forscher ab.

Die Cybersicherheitsfirma CyberX bestätigte die Angriffe und sagte, die Operation BugDrop habe mindestens 70 Opfer in der Ukraine getroffen. Laut CyberX hat der Cyberspionage-Betrieb bis heute spätestens im Juni 2016 begonnen. Das Unternehmen sagte:

Die Operation versucht, eine Reihe vertraulicher Informationen von ihren Zielen zu erfassen, einschließlich Audioaufzeichnungen von Gesprächen, Screenshots, Dokumenten und Passwörtern. Im Gegensatz zu Videoaufnahmen, die häufig von Benutzern blockiert werden, die einfach Klebeband über das Kameraobjektiv legen, ist es praktisch unmöglich, das Mikrofon Ihres Computers zu blockieren, ohne physisch auf die PC-Hardware zuzugreifen und diese zu deaktivieren.

Ziele und Methoden

Einige Beispiele für die Ziele von Operation BugDrop sind:

• Ein Unternehmen, das Fernüberwachungssysteme für Öl- und Gaspipeline-Infrastrukturen entwickelt.
• Eine internationale Organisation, die Menschenrechte, Terrorismusbekämpfung und Cyberangriffe auf kritische Infrastruktur in der Ukraine überwacht.
• Ein Ingenieurbüro, das Umspannwerke, Gasverteilungsleitungen und Wasserversorgungsanlagen entwirft.
• Ein wissenschaftliches Forschungsinstitut.
• Herausgeber ukrainischer Zeitungen.

Insbesondere zielte der Angriff auf Opfer in den Separatistenstaaten Donezk und Luhansk in der Ukraine. Neben Dropbox verwenden die Angreifer auch die folgenden erweiterten Taktiken:

• Reflective DLL Injection, eine fortschrittliche Technik zum Injizieren von Malware, die auch von BlackEnergy bei den ukrainischen Grid-Angriffen und von Duqu bei den Stuxnet-Angriffen auf iranische Nuklearanlagen verwendet wurde. Reflective DLL Injection lädt bösartigen Code, ohne die normalen Windows-API-Aufrufe aufzurufen, und umgeht damit die Sicherheitsüberprüfung des Codes, bevor dieser in den Speicher geladen wird.
• Verschlüsselte DLLs, wodurch die Erkennung durch gängige Antiviren- und Sandbox-Systeme vermieden wird, da verschlüsselte Dateien nicht analysiert werden können.
• Legitime kostenlose Webhosting-Sites für die Command-and-Control-Infrastruktur. C & C-Server stellen eine potenzielle Gefahr für Angreifer dar, da Ermittler Angreifer häufig anhand von Registrierungsdetails für den C & C-Server identifizieren können, die über frei verfügbare Tools wie whois und PassiveTotal abgerufen werden. Kostenlose Webhosting-Sites erfordern dagegen nur wenige oder gar keine Registrierungsinformationen. Operation BugDrop verwendet eine kostenlose Webhosting-Site, um das Kern-Malware-Modul zu speichern, das auf infizierte Opfer heruntergeladen wird. Im Vergleich dazu registrierten sich die Groundbait-Angreifer und bezahlten für ihre eigenen bösartigen Domains und IP-Adressen.

Laut CyberX ahmt die Operation BugDrop die Operation Groundbait nach, die im Mai 2016 für pro-russische Personen entdeckt wurde.