Международная компания в сфере безопасности CyberX обнаружила следы проведения масштабной операции по кибершпионажу в Украине. С помощью зловредного ПО, которое эксперты назвали BugDrop, хакеры могли дистанционно записывать разговоры в украинских компаниях через микрофоны, встроенные в ноутбуки и мобильные гаджеты.

По данным CyberX, в рамках операции BugDrop жертвами кибершпионов стали уже как минимум 70 компаний в разных сферах, включая критически важные объекты инфраструктуры, средства массовой информации и научно-исследовательские институты. Целью злоумышленников была добыча конфиденциальной информации: записей разговоров, скриншотов, документов и паролей, сохраненных в браузере. И если веб-камеру некоторые пользователи бдительно заклеивают, то заблокировать микрофон на устройствах практически невозможно, отмечается в исследовании.

Следы BugDrop обнаружены в Саудовской Аравии, Австрии и России, однако абсолютное большинство объектов атаки были расположены в Украине. Причем, особо заметна активность кампании в самопровозглашенных сепаратистских республиках Донецка и Луганска.

Как хакеры получали доступ к компьютерам

Вирусные файлы отправлялись пользователям через фишинговые электронные письма, которые призывали открывать файл Microsoft Word: именно он содержал вредоносный макрос.

Если макросы у пользователя были отключены, их прелагалось включить во всплывающем диалоговом окне: “Внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа”. Само окно выполнено очень качественно, словно является настоящим сообщением Microsoft Office.

Посредством нескольких действий на компьютер пользователя загружалось дополнительное шпионское ПО, которое могло воровать огромный массив данных: файлы форматов doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt с самого компьютера и подключенных внешних накопителей, а также всю информацию об устройстве (имя, IP, софт и т.д.). Также злоумышленники получали доступ к микрофону: это позволяло им записывать разговоры пользователя.

Перед тем, как файл загружался на Dropbox, он шифровался с помощью алгоритма Blowfish. После скачивания документов из Dropbox, файлы из облачного хранилища удалялись.

Кто виноват

Точно сказать, кто стоит за атаками и могли ли они спонсироваться другим государством, в CyberX не могут. Однако эксперты отмечают, что BugDrop отличается своей масштабностью и количеством человеческих и материально-технических ресурсов, необходимых для анализа огромных объемов неструктурированных данных, которые были украдены в ходе операции. Это гораздо более сложная операция, исходя из использованных методов, чем обнаруженная в мае 2016 году Operation Groundbait (“Прикормка”).

Атаки BugDrop были направлены на:

  1. Компании, которые разрабатывают системы дистанционного мониторинга для инфраструктур нефте- и газотранспорта;
  2. Международные организации, которые ведут мониторинг соблюдения прав человека, борьбы с терроризмом и кибератаками на критическую инфраструктуру в Украине;
  3. Инжиниринговые компании, которые разрабатывают электроподстанции, распределительные газопроводы и системы водоснабжения;
  4. Научно-исследовательские институты;
  5. Редакторов украинских газет.

По мнению экспертов, это был лишь первый этап операции. Вероятно, хакеры провели разведку на объектах, чтобы определить, где удастся организовать новые диверсии.

Напомним, в 2016 году хакерские атаки на украинские инфраструктурные объекты перестали быть чем-то сверхъестественным и даже вошли в привычку. Киберинцидентов с наивысшей степенью угрозы за год произошло как минимум три (из тех, которые стали достоянием общественности), благо не все закончились успехом хакеров. Однако эксперты констатируют факт: всплеска атак не было — все плохо уже давно. Кто и зачем кибератаковал Украину – читайте в итоговом материале AIN.UA.