[You must be registered and logged in to see this image.]Специалистите по информационна безопасност на CyberX разкриха голяма разузнавателна операция, целенасочено водена от неизвестни лица на територията на Украйна. В компютрите на жертвите се инсталира малуер, който записва разговорите и звуците чрез вградените микрофони на компютърните устройства. Докато уеб-камерата може да се залепи с тиксо, блокирането на вградения в лаптопа или таблета микрофон е на практика невъзможно.
Анализът показа високата квалификация на хакерите. Сложността на компютърните вируси и отличната координация на атаките издават мощна организация със значителни ресурси. Ежедневно от заразените компютри са източвани няколко GB аудиозаписи.
Записите са копирани в Dropbox, а заедно с тях са записвани конфиденциални документи, пароли за онлайн услуги, скрийншоти и други. Ето защо CyberX нарече тази операция BugDrop.
Жертви на подслушването са над 70 души, включително и хора с критична за управлението на инфраструктурата на държавата функции, медии, научни институти. Повечето жертви са от Украйна (много са от Донецк и Луганск), няколко души са от Русия, Саудитска арабия и Австрия.
CyberX отбелязва сходството на операцията BugDrop с друга подобна – Groundbait, разкрита от ESET през месец май 2016 година. Но BugDrop е много по-хитроумна и използва по-сложни техники. Използва се DLL инжектиране с отразяване (Reflective DLL Injection), използвана в популярния Stuxnet, предназначен за атакуване на иранските центрофуги за обогатяване на уран.
DLL инжектирането с отразяване дава възможност за зареждане на вреден код без използването на Windows API. В случая, тази техника е използвана за зареждане в паметта на обфусцирани DLL, които не се подават на анализ от повечето антивируси и пясъчници.
[You must be registered and logged in to see this image.]За събирането на данните и управлението на троянците е използвана стандартната инфраструктура – безплатен хостинг.
[You must be registered and logged in to see this image.]Заразяването става чрез лично писмо до всяка жертва. Това е Microsoft Office документ, уж съдържащ имената, датите на раждане и адресите на някои военнослужещи, в който е вграден макрос, заразяващ системата.
/kaldata.com