공격자들은 비밀리에 개인 대화를 듣고 도난 된 데이터를 Dropbox에 저장하기 위해 PC 마이크를 감시하여 우크라이나에서 사이버 스파이 활동을 확산시키고 있습니다. Dubed Operation BugDrop은이 공격이 중요한 인프라, 미디어 및 과학 연구자를 대상으로했다고 밝혔다.

사이버 보안 회사 인 CyberX는이 공격을 확인하여 BugDrop 작전이 우크라이나 전역에서 최소 70 명의 피해자를 공격했다고 밝혔다. CyberX에 따르면 사이버 스파이 활동은 2016 년 6 월까지 시작되었습니다. 회사는 말했다:

이 작업은 대화의 오디오 녹음, 스크린 샷, 문서 및 암호를 포함하여 대상에서 다양한 민감한 정보를 캡처하려고합니다. 사용자가 카메라 렌즈 위에 테이프를 놓기 만하면 종종 차단되는 비디오 녹화와 달리 PC 하드웨어에 물리적으로 액세스하거나 비활성화하지 않고 컴퓨터의 마이크를 차단하는 것은 사실상 불가능합니다.

목표와 방법

BugDrop 운영 대상의 예는 다음과 같습니다.

• 석유 및 가스 파이프 라인 인프라를위한 원격 모니터링 시스템을 설계하는 회사입니다.
• 우크라이나의 중요 인프라에 대한 인권, 테러 및 사이버 공격을 모니터링하는 국제 조직.
• 전기 변전소, 가스 분배 파이프 라인 및 급수 시설을 설계하는 엔지니어링 회사.
• 과학 연구소.
• 우크라이나 신문 편집자.

보다 구체적으로, 이 공격은 우크라이나의 분리주의 도네츠크와 루한 스크의 피해자들을 대상으로했다. Dropbox 외에도 Dropbox는 다음과 같은 고급 전술을 사용합니다.

• Reflective DLL Injection은 우크라이나 그리드 공격에서 BlackEnergy와이란 핵 시설에 대한 Stuxnet 공격에서 Duqu가 사용한 악성 코드 주입 기술입니다. Reflective DLL Injection은 정상적인 Windows API 호출을 호출하지 않고 악성 코드를로드하므로 코드가 메모리에로드되기 전에 코드의 보안 확인을 우회합니다.
• 암호화 된 DLL은 암호화 된 파일을 분석 할 수 없기 때문에 일반적인 안티 바이러스 및 샌드 박싱 시스템의 탐지를 피합니다.
• 명령 및 제어 인프라를위한 합법적 인 무료 웹 호스팅 사이트. C & C 서버는 공격자에게 잠재적 인 함정입니다. 조사관은 whois 및 PassiveTotal과 같은 무료로 제공되는 도구를 통해 얻은 C & C 서버에 대한 등록 세부 정보를 사용하여 공격자를 식별 할 수 있습니다. 반면에 무료 웹 호스팅 사이트는 등록 정보가 거의 또는 전혀 필요하지 않습니다. 운영 BugDrop은 무료 웹 호스팅 사이트를 사용하여 감염된 피해자에게 다운로드되는 핵심 맬웨어 모듈을 저장합니다. 그에 비해 Groundbait 공격자들은 자신의 악성 도메인과 IP 주소를 등록하고 지불했습니다.

CyberX에 따르면, BugDrop 작전은 2016 년 5 월 친 러시아인을 대상으로 발견 된 Operation Groundbait을 많이 모방한다고합니다.