Los atacantes están difundiendo una campaña de ciberespionaje en Ucrania al espiar micrófonos de PC para escuchar en secreto conversaciones privadas y almacenar datos robados en Dropbox. Apodado Operación BugDrop, el ataque se ha dirigido a infraestructura crítica, medios e investigadores científicos.

La firma de seguridad cibernética CyberX confirmó los ataques, diciendo que la Operación BugDrop ha golpeado al menos a 70 víctimas en Ucrania. Según CyberX, la operación de ciberespionaje comenzó a más tardar en junio de 2016 hasta el presente. La compañía dijo:

La operación busca capturar una variedad de información confidencial de sus objetivos, incluidas grabaciones de audio de conversaciones, capturas de pantalla, documentos y contraseñas. A diferencia de las grabaciones de video, que a menudo son bloqueadas por los usuarios simplemente colocando cinta adhesiva sobre la lente de la cámara, es prácticamente imposible bloquear el micrófono de su computadora sin acceder físicamente y desactivar el hardware de la PC.

Metas y métodos

Algunos ejemplos de los objetivos de la Operación BugDrop incluyen:

• Una empresa que diseña sistemas de monitoreo remoto para infraestructuras de oleoductos y gasoductos.
• Una organización internacional que monitorea los derechos humanos, el antiterrorismo y los ataques cibernéticos a la infraestructura crítica en Ucrania.
• Una empresa de ingeniería que diseña subestaciones eléctricas, tuberías de distribución de gas y plantas de suministro de agua.
• Un instituto de investigación científica.
• Editores de periódicos ucranianos.

Más específicamente, el ataque apuntó a víctimas en los estados separatistas de Donetsk y Lugansk en Ucrania. Además de Dropbox, los atacantes también están utilizando las siguientes tácticas avanzadas:

• Inyección DLL reflectante, una técnica avanzada para inyectar malware que también fue utilizada por BlackEnergy en los ataques a la red de Ucrania y por Duqu en los ataques de Stuxnet en las instalaciones nucleares iraníes. La inyección reflectante de DLL carga código malicioso sin llamar a las llamadas normales de la API de Windows, evitando así la verificación de seguridad del código antes de que se cargue en la memoria.
• DLL cifrados, evitando así la detección por sistemas antivirus y sandboxing comunes porque no pueden analizar archivos cifrados.
• Sitios web de alojamiento web legítimos para su infraestructura de comando y control. Los servidores de C&C son un obstáculo potencial para los atacantes, ya que los investigadores a menudo pueden identificar a los atacantes utilizando los detalles de registro para el servidor de C&C obtenidos a través de herramientas disponibles gratuitamente, como whois y PassiveTotal. Los sitios de alojamiento web gratuitos, por otro lado, requieren poca o ninguna información de registro. Operation BugDrop utiliza un sitio de alojamiento web gratuito para almacenar el módulo principal de malware que se descarga a las víctimas infectadas. En comparación, los atacantes Groundbait se registraron y pagaron sus propios dominios maliciosos y destinatarios de IP.

Según CyberX, la Operación BugDrop imita en gran medida la Operación Groundbait, descubierta en mayo de 2016, dirigida a individuos pro-rusos.