Les attaquants diffusent une campagne de cyberespionnage en Ukraine en espionnant des microphones pour PC afin d'écouter secrètement des conversations privées et de stocker des données volées sur Dropbox. Surnommé Operation BugDrop, l'attaque a ciblé des chercheurs critiques en infrastructures, médias et scientifiques.

La firme de cybersécurité CyberX a confirmé ces attaques, affirmant que l'opération BugDrop avait fait au moins 70 victimes en Ukraine. Selon CyberX, l'opération de cyberespionnage a débuté au plus tard en juin 2016 et se poursuit. La société a déclaré:

L’opération cherche à capturer une gamme d’informations sensibles provenant de ses cibles, notamment des enregistrements audio de conversations, des captures d’écran, des documents et des mots de passe. Contrairement aux enregistrements vidéo, qui sont souvent bloqués par les utilisateurs qui mettent simplement du ruban adhésif sur l'objectif de l'appareil photo, il est pratiquement impossible de bloquer le microphone de votre ordinateur sans accéder physiquement ni désactiver le matériel de l'ordinateur.

Cibles et méthodes

Voici quelques exemples de cibles d'Operation BugDrop:

• Une entreprise qui conçoit des systèmes de surveillance à distance pour les infrastructures de pipelines de pétrole et de gaz.
• Une organisation internationale qui surveille les droits de l'homme, la lutte contre le terrorisme et les cyberattaques sur les infrastructures critiques en Ukraine.
• Une société d'ingénierie qui conçoit des sous-stations électriques, des conduites de distribution de gaz et des usines de distribution d'eau.
• Un institut de recherche scientifique.
• Editeurs de journaux ukrainiens.

Plus précisément, l'attaque visait des victimes dans les États séparatistes ukrainiens de Donetsk et de Louhansk. Outre Dropbox, les attaquants utilisent également les tactiques avancées suivantes:

• Reflective DLL Injection, une technique avancée pour injecter des logiciels malveillants, également utilisée par BlackEnergy dans les attaques contre les réseaux ukrainiens et par Duqu dans les attaques par Stuxnet sur des installations nucléaires iraniennes. Reflective DLL Injection charge du code malveillant sans appeler les appels API Windows normaux, contournant ainsi la vérification de la sécurité du code avant son chargement en mémoire.
• DLL cryptées, évitant ainsi la détection par les systèmes antivirus et sandbox courants, car ils ne peuvent pas analyser les fichiers cryptés.
• Sites d’hébergement Web légitimes gratuits pour son infrastructure de commande et de contrôle. Les serveurs C & C constituent un piège potentiel pour les attaquants, car les enquêteurs peuvent souvent identifier ceux-ci à l'aide des informations d'enregistrement du serveur C & C obtenues via des outils disponibles gratuitement, tels que whois et PassiveTotal. Les sites d’hébergement Web gratuits, d’autre part, nécessitent peu ou pas d’informations d’enregistrement. L'opération BugDrop utilise un site d'hébergement Web gratuit pour stocker le module de programmes malveillants central téléchargé pour les victimes infectées. En comparaison, les attaquants de Groundbait ont enregistré et payé leurs propres domaines malveillants et adresses IP.

Selon CyberX, l'opération BugDrop imite fortement l'opération Groundbait, découverte en mai 2016 et ciblant des individus pro-russes.