ينشر المهاجمون حملة تجسس إلكترونية في أوكرانيا بالتجسس على الميكروفونات الخاصة بجهاز الكمبيوتر من أجل الاستماع سرا إلى المحادثات الخاصة وتخزين البيانات المسروقة على Dropbox. الهجوم الذي أطلق عليه اسم BugDrop ، استهدف الهجوم البنية التحتية الحيوية ووسائل الإعلام والباحثين العلميين.

وأكدت شركة CyberX للأمن السيبراني الهجمات ، قائلة إن عملية BugDrop أصابت ما لا يقل عن 70 ضحية في جميع أنحاء أوكرانيا. وفقًا لـ CyberX ، بدأت عملية التجسس الإلكتروني في موعد لا يتجاوز يونيو 2016 حتى الوقت الحاضر. قالت الشركة:

تسعى العملية لالتقاط مجموعة من المعلومات الحساسة من أهدافها بما في ذلك التسجيلات الصوتية للمحادثات ، لقطات الشاشة ، الوثائق وكلمات المرور. على عكس تسجيلات الفيديو ، التي يتم حظرها في كثير من الأحيان من قبل المستخدمين ببساطة عن طريق وضع شريط على عدسة الكاميرا ، فمن المستحيل عملياً حظر ميكروفون الكمبيوتر دون الوصول إلى أجهزة الكمبيوتر وتعطيلها فعليًا.

الأهداف والأساليب

بعض الأمثلة على أهداف عملية BugDrop تشمل:

• شركة تصمم أنظمة المراقبة عن بعد للبنى التحتية لخطوط أنابيب النفط والغاز.
• منظمة دولية تراقب حقوق الإنسان ومكافحة الإرهاب والهجمات الإلكترونية على البنية التحتية الحيوية في أوكرانيا.
• شركة هندسية تصمم المحطات الكهربائية وأنابيب توزيع الغاز ومحطات تزويد المياه.
• معهد البحث العلمي.
• محرري الصحف الأوكرانية.

وبشكل أكثر تحديداً ، استهدف الهجوم الضحايا في ولايتي دونيتسك ولوهانسك الانفصالية في أوكرانيا. بالإضافة إلى Dropbox ، يستخدم المهاجمون أيضًا التكتيكات المتقدمة التالية:

• Reflect DLL Injection ، تقنية متقدمة لحقن البرامج الضارة التي كانت تستخدمها أيضًا BlackEnergy في هجمات الشبكة الأوكرانية و Duqu في هجمات Stuxnet على المنشآت النووية الإيرانية. يقوم Reflex DLL Injection بتحميل التعليمات البرمجية الضارة دون استدعاء مكالمات واجهة برمجة تطبيقات Windows العادية ، وبالتالي تجاوز التحقق الأمني ​​من الكود قبل أن يتم تحميله في الذاكرة.
• DLLs المشفرة ، وبالتالي تجنب الكشف عن طريق أنظمة مكافحة الفيروسات و sandboxing الشائعة لأنها غير قادرة على تحليل الملفات المشفرة.
• مواقع استضافة ويب مجانية شرعية للبنية التحتية الخاصة بالقيادة والتحكم. تعد خوادم C&C مخزونة محتملة للمهاجمين حيث يمكن للمحققين في كثير من الأحيان تحديد المهاجمين باستخدام تفاصيل التسجيل لخادم C&C الذي تم الحصول عليه عبر أدوات متاحة مجانًا مثل whois و PassiveTotal. مواقع استضافة المواقع المجانية ، من ناحية أخرى ، تتطلب معلومات تسجيل قليلة أو معدومة. تستخدم عملية BugDrop موقعًا مجانيًا لاستضافة الويب لتخزين وحدة البرامج الضارة الأساسية التي يتم تنزيلها للضحايا المصابين. في المقارنة ، قام مهاجمو Groundbait بتسجيل ودفع تكاليف المجالات الخبيثة وعناوين IP الخاصة بهم.

وفقًا لـ CyberX ، تحاكي عملية BugDrop بشدة عملية Groundbait التي تم اكتشافها في مايو 2016 والتي تستهدف الأفراد المؤيدين لروسيا.