Operacja BugDrop wyciągnęła > 600 GB danych – w tym nagrania audio z zainfekowanych komputerów

Kierowana na istotne ukraińskie instytucje operacja, wśród innych danych wyciągała również nagrania audio z zainfekowanych laptopów / komputerów:

The operation seeks to capture a range of sensitive information from its targets including audio recordings of conversations, screen shots, documents and passwords. Unlike video recordings, which are often blocked by users simply placing tape over the camera lens, it is virtually impossible to block your computer’s microphone without physically accessing and disabling the PC hardware.

Właśnie. Zaklejacie kamerkę. Ale jak zakleić mikrofon…?

Instytucje na celowniku (w sumie około 70 potwierdzonych przypadków) to m.in:

• firma związana z monitorowaniem pracy gazociągów
• firma związana z ochroną krytycznej infrastruktury na Ukrainie
• firma związana z wytwarzaniem podstacji energetycznych, rurociągów oraz wodociągów
• instytut badawczy
• ukraińskie gazety

Oryginalne badanie mówi o wielu gigabajtach na dzień, które były transferowane na Dropboxa, deszyfrowane a następnie przetwarzane przez napastników.

Proces infekcji jest dość dokładnie opisany, a zaczynało się od klasyki – czyli dokumentu w Wordzie (z makrami), który rzekomo przedstawia dane osobowe osób związanych z wojskiem.

Wybrane komponenty mają dość niską wykrywalność antywirusami (The downloader has low detection rates (detected by only 4 out of 54 AV products)), dane są szyfrowane przed wysyłką i  obejmują:

• File Collector: Searches for variety of file types that are stored locally or on shared drives (including doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt) . Files are uploaded on-demand.
• USB File Collector: Searches for variety of file types on USB drives (including doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt).
• Browser Data Collector: Used to steal passwords and other sensitive information stored in browsers.
• Microphone: Captures audio conversations.
• Computer Info Collector: Collects data about the client such as Windows OS version, computer name, user name, IP address, MAC address, antivirus software, etc.

–ms