Нападачи шире кампању за сајбер шпијунажу у Украјини шпијунирањем ПЦ микрофона како би потајно слушали приватне разговоре и спремили украдене податке на Дропбоку. Наглашена операција БугДроп, напад је циљао на критичну инфраструктуру, медије и научне истраживаче.

Фирма за цибер-сигурност ЦиберКс потврдила је нападе рекавши да је операција БугДроп погодила најмање 70 жртава широм Украјине. Према писању ЦиберКс-а, операција сајбер шпијунаже започела је најкасније јуна 2016. године до данас. Компанија је рекла:

Операција настоји да прикупи читав низ осетљивих информација из својих циљева, укључујући аудио снимке разговора, снимке екрана, документе и лозинке. За разлику од видео снимака, које корисници често блокирају само постављањем траке преко објектива камере, практично је немогуће блокирати микрофон рачунара без физичког приступа и онемогућавања хардвера рачунара.

Циљеви и методе

Неки примери циљева операције БугДроп укључују:

• Компанија која дизајнира системе за даљинско праћење инфраструктуре нафте и гасовода.
• Међународна организација која надгледа људска права, борбу против тероризма и цибер нападе на критичну инфраструктуру у Украјини.
• Инжењерска компанија која пројектује електричне подстанице, гасоводне дистрибуције и водоводне инсталације.
• Научно-истраживачки институт.
• Уредници украјинских новина.

Тачније, напад је био намењен жртвама у украјинским сепаратистичким државама Доњецк и Луханск. Поред Дропбок-а, нападачи користе и следеће напредне тактике:

• Рефлецтиве ДЛЛ Ињецтион, напредна техника убризгавања злонамјерног софтвера коју је такође користила БлацкЕнерги у нападима на украјинску мрежу и Дуку у нападима Стукнет на иранска нуклеарна постројења. Рефлективна ДЛЛ ињекција учита злонамерни код без позивања уобичајених Виндовс АПИ позива, а заобилази безбедносну верификацију кода пре него што се учита у меморију.
• Шифроване ДЛЛ датотеке, чиме се избегава детекција од стране уобичајених антивирусних и сандбок система јер нису у стању да анализирају шифроване датотеке.
• Легитимни бесплатни веб хостинг сајтови за његову командно-контролну инфраструктуру. Ц&Ц сервери су потенцијална замка нападача јер истражитељи често могу идентификовати нападаче користећи детаље регистрације за Ц&Ц сервер добијене путем слободно доступних алата као што су вхоис и ПассивеТотал. С друге стране, бесплатне веб локације за хостовање захтевају мало или никакве информације о регистрацији. Операција БугДроп користи бесплатну веб локацију за смештање језгра злонамерног софтвера који се преузима на заражене жртве. За поређење, Гроундбаит нападачи су се регистровали и платили за своје злонамерне домене и ИП адресе.

Према ЦиберКс-у, операција БугДроп снажно опонаша операцију Гроундбаит која је откривена у мају 2016. године и циља на проруске појединце.