攻撃者は、プライベート会話を密かに聞き取り、盗まれたデータをDropboxに保存するために、PCマイクをスパイすることによりウクライナでサイバースパイ活動を広めています。 BugDrop操作と呼ばれるこの攻撃は、重要なインフラストラクチャ、メディア、科学研究者を標的にしています。

サイバーセキュリティ企業のCyber​​Xは、この操作を確認し、BugDrop作戦がウクライナ全体で少なくとも70人の被害者を襲ったと述べました。 Cyber​​Xによると、サイバースパイ活動は2016年6月までに開始されました。 会社は言った：

この操作では、会話の録音、スクリーンショット、ドキュメント、パスワードなど、さまざまな機密情報をターゲットからキャプチャしようとします。 ユーザーがカメラレンズにテープを置くだけでブロックされることが多いビデオ録画とは異なり、PCハードウェアに物理的にアクセスして無効にすることなくコンピューターのマイクをブロックすることは事実上不可能です。

ターゲットと方法

操作BugDropのターゲットの例を次に示します。

• 石油およびガスのパイプラインインフラストラクチャ用のリモート監視システムを設計する会社。
• ウクライナの重要インフラに対する人権、テロ対策、サイバー攻撃を監視する国際組織。
• 電気変電所、ガス分配パイプライン、給水プラントを設計するエンジニアリング会社。
• 科学研究機関。
• ウクライナの新聞の編集者。

より具体的には、攻撃はウクライナの分離主義国家ドネツクとルハンスクの犠牲者を標的にしました。 Dropboxに加えて、攻撃者は次の高度な戦術も使用しています。

• リフレクティブDLLインジェクション。マルウェアを注入するための高度な手法で、BlackEnergyがウクライナのグリッド攻撃で、Duquがイランの原子力施設に対するStuxnet攻撃で使用していました。 Reflective DLL Injectionは、通常のWindows API呼び出しを呼び出さずに悪意のあるコードをロードするため、メモリにロードされる前にコードのセキュリティ検証をバイパスします。
• 暗号化されたDLL。暗号化されたファイルを分析できないため、一般的なウイルス対策およびサンドボックスシステムによる検出を回避します。
• 指揮統制インフラストラクチャのための正当な無料ウェブホスティングサイト。 C&Cサーバーは攻撃者にとって潜在的な落とし穴です。調査者は、whoisやPassiveTotalなどの自由に利用できるツールから取得したC&Cサーバーの登録詳細を使用して攻撃者を特定できることが多いためです。 一方、無料のWebホスティングサイトでは、登録情報はほとんど必要ありません。 操作BugDropは、無料のWebホスティングサイトを使用して、感染した被害者にダウンロードされるコアマルウェアモジュールを保存します。 それに比べて、Groundbaitの攻撃者は、自分の悪意のあるドメインとIPアドレスを登録して支払いました。

Cyber​​Xによると、BugDrop作戦は、ロシア系の個人をターゲットにした2016年5月に発見されたGroundbait作戦に非常によく似ています。