Operace BugDrop označuje novou formu malwaru, který tajně infikuje stolní a přenosné počítače a používá mikrofon počítače k tajnému záznamu zvuku. Malware BugDrop poté exportuje zvuková data z infikovaných počítačů do souborů Dropbox k načtení a analýze počítačovými zločinci.
Bezpečnostní firma CyberX objevila v únoru 2016 rozsáhlou operaci „Cyber-reconnaissance“ BugDrop a zjistila, že malware cílí na více než 70 cílů na Ukrajině. Malware dostává své jméno podle toho, jak „buguje“ kanceláře a podniková prostředí vzdáleným ovládáním počítačových mikrofonů a poté „ukládá“ zaznamenaná data do Dropboxu.
Kromě záznamu zvuku se Operation BugDrop také pokouší zachytit citlivé informace a podrobnosti pořizováním tajných snímků obrazovky, získávání dokumentů a shromažďováním hesel a přihlašovacích údajů. Malware se zaměřil na řadu průmyslových odvětví, včetně vědeckého výzkumu, mediálních operací a kritické infrastruktury.
Jak operace BugDrop proniká do počítačů a podniků
Provoz BugDrop infiltruje organizace a počítače pomocí phishingových útoků, při nichž zprávy maskující se jako legitimní e-maily Microsoft Office povzbuzují uživatele k povolení maker, což pak usnadňuje instalaci BugDropu.
Malware poté používá složité techniky, aby se vyhnuli detekci, včetně šifrování souborů DLL a jejich instalace pomocí injekce DLL, maskování hlavního stahovacího programu a odesílání zvukových záznamů způsobem, který se jeví jako legitimní přenos souborů.
Jakmile malware Operation BugDrop infikuje organizaci, „efektivně promění každý počítač v chybu, která je v některých ohledech mnohem efektivnější, než kdyby zpravodajští agenti ve skutečnosti zasazovali chyby do stejných kanceláří,“ uvádí eWeek.
Provoz BugDrop Bezpečnostní důsledky a na co si dát pozor
Operace BugDrop si v poslední době získala značnou pozornost, protože se jedná o novou formu malwaru s jedinečnou formou krádeže citlivých informací a také proto, že zatímco dosud byla omezena na ukrajinské cíle, mohla být uvolněna kdekoli, včetně USA
CyberX tvrdí, že nejlepší metodou pro určení, zda byla síť napadena operací BugDrop, je sledovat odchozí provoz ze sítě, zejména pokud jde o známky exfiltrace, velké množství dat odesílaných denně do Dropboxu.