Saldırganlar, özel konuşmaları gizlice dinlemek ve çalınan verileri Dropbox'ta saklamak için PC mikrofonlarına casusluk yaparak Ukrayna'da bir siber casusluk kampanyası yayıyorlar. Dublaj Operasyonu BugDrop, saldırı kritik altyapıyı, medyayı ve bilimsel araştırmacıları hedef aldı.

Siber güvenlik şirketi CyberX, BugDrop Operasyonunun Ukrayna genelinde en az 70 kurbanı vurduğunu söyleyerek saldırıları doğruladı. CyberX’e göre, siber casusluk operasyonu Haziran 2016’dan bugüne kadar başlamamıştı. Şirket dedi ki:

Operasyon, konuşmaların ses kayıtları, ekran görüntüleri, belgeler ve şifreler dahil olmak üzere, hedeflerinden bir dizi hassas bilgi yakalamayı hedefliyor. Sadece kullanıcılar tarafından kamera lensi üzerine bant yerleştirerek engellenen video kayıtlarından farklı olarak, bilgisayarınızın donanımına fiziksel olarak erişmeden ve bunları devre dışı bırakmadan bilgisayarınızın mikrofonunu bloke etmek neredeyse imkansızdır.

Hedefler ve yöntemler

Operasyon BugDrop'un hedeflerine bazı örnekler:

• Petrol ve gaz boru hattı altyapıları için uzaktan izleme sistemleri tasarlayan bir şirket.
• Ukrayna'da kritik altyapı konusunda insan haklarını, terörle mücadele ve siber saldırıları izleyen uluslararası bir örgüt.
• Elektrik trafo merkezlerini, gaz dağıtım boru hatlarını ve su temini tesislerini tasarlayan bir mühendislik şirketi.
• Bilimsel bir araştırma enstitüsü.
• Ukrayna gazetelerinin editörleri.

Daha spesifik olarak, saldırı Ukrayna'nın ayrılıkçı Donetsk ve Luhansk eyaletlerinde mağdurları hedef aldı. Dropbox'a ek olarak, saldırganlar aşağıdaki gelişmiş taktikleri de kullanıyorlar:

• Yansıtıcı DLL Enjeksiyonu, Ukrayna ızgara saldırılarında BlackEnergy tarafından ve İran nükleer tesislerine yönelik Stuxnet saldırılarında Duqu tarafından da kullanılan kötü amaçlı yazılımları enjekte etmek için gelişmiş bir tekniktir. Yansıtıcı DLL Enjeksiyonu, normal Windows API çağrıları çağırmadan kötü amaçlı kod yükler ve böylece belleğe yüklenmeden önce kodun güvenlik doğrulamasını atlar.
• Şifrelenmiş DLL'ler, böylece genel anti-virüs ve sanal alan sistemleri tarafından algılanmayı önler, çünkü şifrelenmiş dosyaları analiz edemezler.
• Komuta kontrol altyapısı için meşru ücretsiz web barındırma siteleri. C&C sunucuları, araştırmacılar, whois ve PassiveTotal gibi serbestçe kullanılabilen araçlar aracılığıyla elde edilen C&C sunucusu için kayıt ayrıntılarını kullanarak saldırganları sıklıkla tanımlayabildiklerinden, saldırganlar için potansiyel bir engeldir. Öte yandan, ücretsiz web barındırma siteleri çok az kayıt bilgisi veya kayıt bilgisi gerektirmez. Operasyon BugDrop virüslü kurbanlara indirilen çekirdek malware modülünü saklamak için ücretsiz bir web barındırma sitesi kullanır. Buna karşılık, Groundbait saldırganları kendi kötü niyetli etki alanları ve IP adresleri için kayıt yaptı ve ödeme yaptı.

CyberX’e göre, BugDrop Operasyonu, Mayıs 2016’da Rus yanlısı bireyleri hedef alan Operasyon Groundbait’i çok fazla taklit ediyor.