Los atacantes están llevando a cabo una campaña de espionaje cibernético en Ucrania espiando los micrófonos de los ordenadores para escuchar en secreto conversaciones privadas y almacenar datos robados en Dropbox. Apodada Operación BugDrop, el ataque se ha dirigido a infraestructuras críticas, medios de comunicación e investigadores científicos.
La empresa de ciberseguridad CyberX confirmó los ataques, diciendo que la Operación BugDrop ha afectado al menos a 70 víctimas en toda Ucrania. Según CyberX, la operación de ciberespionaje se inició en junio de 2016 hasta la fecha. La compañía dijo:
La operación busca capturar una gama de información sensible de sus destinatarios, incluyendo grabaciones de audio de conversaciones, capturas de pantalla, documentos y contraseñas. A diferencia de las grabaciones de vídeo, que a menudo son bloqueadas por los usuarios simplemente colocando cinta sobre la lente de la cámara, es prácticamente imposible bloquear el micrófono del ordenador sin acceder físicamente y desactivar el hardware del PC.
Objetivos y métodos
Algunos ejemplos de los objetivos de la Operación BugDrop incluyen:
- Empresa que diseña sistemas de monitorización remota para infraestructuras de oleoductos y gasoductos.
- Una organización internacional que vigila los derechos humanos, la lucha contra el terrorismo y los ciberataques a infraestructuras críticas en Ucrania.
- Una empresa de ingeniería que diseña subestaciones eléctricas, tuberías de distribución de gas y plantas de suministro de agua.
- Un instituto de investigación científica.
- Editores de periódicos ucranianos.
Más concretamente, el ataque se dirigió contra las víctimas de los estados separatistas ucranianos de Donetsk y Luhansk. Además de Dropbox, los atacantes también están usando las siguientes tácticas avanzadas:
- Reflective DLL Injection, una técnica avanzada para inyectar malware que también fue utilizada por BlackEnergy en los ataques a la red ucraniana y por Duqu en los ataques de Stuxnet a las instalaciones nucleares iraníes. Reflective DLL Injection carga código malicioso sin llamar a las llamadas normales de la API de Windows, evitando así la verificación de seguridad del código antes de que se cargue en la memoria.
- DLLs cifradas, evitando así la detección por parte de los sistemas antivirus y sandboxing comunes, ya que no pueden analizar los archivos cifrados.
- Sitios de alojamiento web legítimos y gratuitos para su infraestructura de mando y control. Los servidores de C&C son un riesgo potencial para los atacantes, ya que los investigadores a menudo pueden identificar a los atacantes utilizando los detalles de registro para el servidor de C&C obtenidos a través de herramientas de libre acceso como whois y PassiveTotal. Por otro lado, los sitios de alojamiento web gratuito requieren poca o ninguna información de registro. La operación BugDrop utiliza un sitio web gratuito para almacenar el módulo central de malware que se descarga a las víctimas infectadas. En comparación, los atacantes de Groundbait registraron y pagaron por sus propios dominios maliciosos y direcciones IP.
Según CyberX, la Operación BugDrop imita en gran medida a la Operación Groundbait, descubierta en mayo de 2016 y dirigida a individuos pro-rusos.