Penyerang menyebarkan kampanye spionase dunia maya di Ukraina dengan memata-matai mikrofon PC untuk secara diam-diam mendengarkan percakapan pribadi dan menyimpan data curian di Dropbox. Dijuluki Operation BugDrop, serangan itu menargetkan infrastruktur kritis, media, dan peneliti ilmiah.

Perusahaan Cybersecurity CyberX mengkonfirmasi serangan itu, dengan mengatakan Operasi BugDrop telah menghantam setidaknya 70 korban di seluruh Ukraina. Menurut CyberX, operasi spionase cyber dimulai selambat-lambatnya Juni 2016 hingga saat ini. Perusahaan mengatakan:

Operasi ini berupaya untuk menangkap berbagai informasi sensitif dari targetnya termasuk rekaman audio percakapan, tangkapan layar, dokumen, dan kata sandi. Tidak seperti rekaman video, yang sering diblokir oleh pengguna hanya menempatkan pita di atas lensa kamera, hampir tidak mungkin untuk memblokir mikrofon komputer Anda tanpa secara fisik mengakses dan menonaktifkan perangkat keras PC.

Target dan metode

Beberapa contoh target Operasi BugDrop meliputi:

• Perusahaan yang merancang sistem pemantauan jarak jauh untuk infrastruktur pipa minyak & gas.
• Sebuah organisasi internasional yang memantau hak asasi manusia, anti-terorisme, dan serangan siber pada infrastruktur kritis di Ukraina.
• Sebuah perusahaan teknik yang merancang gardu listrik, pipa distribusi gas, dan pabrik pasokan air.
• Lembaga penelitian ilmiah.
• Editor surat kabar Ukraina.

Lebih khusus lagi, serangan itu menargetkan korban di negara bagian Donetsk dan Luhansk, Ukraina. Selain Dropbox, para penyerang juga menggunakan taktik lanjutan berikut:

• Reflective DLL Injection, teknik canggih untuk menyuntikkan malware yang juga digunakan oleh BlackEnergy dalam serangan grid Ukraina dan oleh Duqu dalam serangan Stuxnet pada fasilitas nuklir Iran. Injeksi DLL reflektif memuat kode berbahaya tanpa memanggil panggilan Windows API normal, sehingga mengabaikan verifikasi keamanan kode sebelum kode tersebut dimuat ke dalam memori.
• DLL terenkripsi, sehingga menghindari deteksi oleh sistem anti-virus dan kotak pasir yang umum karena mereka tidak dapat menganalisis file yang dienkripsi.
• Situs web hosting gratis yang sah untuk infrastruktur perintah-dan-kontrolnya. Server C&C adalah perangkap potensial bagi penyerang karena penyidik ​​sering dapat mengidentifikasi penyerang menggunakan rincian pendaftaran untuk server C&C yang diperoleh melalui alat yang tersedia secara bebas seperti whois dan PassiveTotal. Situs web hosting gratis, di sisi lain, hanya memerlukan sedikit atau tidak sama sekali informasi pendaftaran. Operation BugDrop menggunakan situs web hosting gratis untuk menyimpan modul malware inti yang diunduh ke korban yang terinfeksi. Sebagai perbandingan, penyerang Groundbait mendaftar dan membayar domain jahat dan alamat IP mereka sendiri.

Menurut CyberX, Operation BugDrop sangat meniru Operation Groundbait yang ditemukan pada Mei 2016 dengan menargetkan individu yang pro-Rusia.