Compromessi i microfoni dei pc e sottratte molte informazioni sensibili

Nuova offensiva hacker contro l’Ucraina. I ricercatori della sicurezza informatica di Cyber X hanno scoperto una serie di attacchi, lanciato con malware avanzati, che ha causato il furto di oltre 600 giga di dati da circa 70 bersagli. Tra questi ci sono infrastrutture critiche, media e centri di ricerca. L’operazione, chiamata BugDrop, ha visto gli hacker intercettare le comunicazioni delle vittime, compromettendo i microfoni dei loro terminali. Inoltre, sono stati sottratte numerose informazioni, immagazzinate su Dropbox. Da qui il termine “BugDrop”. Obiettivo degli attaccanti era catturare una serie di informazioni sensibili, dalle registrazioni audio agli screen shots, ai documenti e alle passwords. Peraltro, nonostante la maggior parte dei bersagli era in Ucraina, ce ne sono stati anche alcuni in Russia e un piccolo numero in Arabia Saudita e Austria.

Chi sono stati i bersagli di BugDrop

I bersagli di BugDrop secondo Cyber X sono stati di diverso tipo: da un’azienda che progetta sistemi di monitoraggio remoto per gasdotti e oleodotti a un’organizzazione internazionale che si occupa di diritti umani, anti-terrorismo e cyberattacks su infrastrutture critiche in Ucraina. Da un’impresa che progetta sottostazioni elettriche, condotte elettriche e impianti idrici a un istituto di ricerca scientifico. Infine, sono stati presi di mira dagli hacker i giornalisti di diversi quotidiani ucraini.

Gli hacker supportati da organizzazione con risorse di sostanza e numerose

L’operazione BugDrop è stata ben organizzata e impiega un malware avanzato. Secondo le indagini sembra sia stata supportata da un’organizzazione che abbia risorse sostanziose. Come potrebbe essere un attore a livello di nazione. Ciò in quanto l’operazione richiede una imponente infrastruttura di back-end. Questa è necessaria per immagazzinare, decrittare e analizzare diversi giga ogni giorno di dati non strutturati, rubati dai bersagli. Inoltre, serve un grande team di analisti per analizzare e processare manualmente le informazioni e i Big Data. Peraltro, l’offensiva informatica, nonostante sia molto più evoluta, presenta similitudini con una vecchia operazione di cyber-surveillance: la Groundbait, sempre in Ucraina, scoperta da ESET nel 2016. Sono simili le tattiche, le tecniche e le procedure (TTP) impiegate dagli hacker in entrambi i casi.

BugDrop ha molte similitudini con un’altra offensiva informatica in Ucraina: Groundbait

Per le operazioni in Ucraina, sia in Groundbait sia in BugDrop gli hacker hanno impiegato stessi sistemi: la Dropbox per immagazzinare i dati; la eflective DLL Injection, per inoculare il malware, e le DLL criptate, per evitare di essere rilevati dai comuni antivirus. La differenza sostanziale tra le due offensive informatiche, a parte la complessità dell’ultima, è legata ai siti dove è stato custodito il nucleo del malware che poi è stato scaricato dalle vittime. Nel primo caso sono stati usati un dominio e indirizzi IP a pagamento. Nel secondo, un servizio di free web hosting. Infine, in BugDrop l’infezione è stata lanciata con attacchi di email phishing e macro malevoli, inserite in attachments di Microsoft Office. A proposito, sono state impiegate tecniche di ingegneria sociale per far sì che i bersagli le abilitassero.

La nota di Cyber X sull’operazione BugDrop in Ucraina