С микрофона на Dropbox. Как хакеры шпионили за украинскими VIP

Международная компания в сфере безопасности CyberX обнаружила следы проведения широкомасштабной операции по кибершпионажу в Украине.

Эксперты окрестили операцию BugDrop. Это зловредное ПО, которое может дистанционно записывать разговоры в украинских организациях и компаниях с помощью вмонтированных в ноутбуки и прочие гаджеты микрофонов. Как "перевалочную базу" для перехваченных разговоров вирус использует Dropbox.

Камеру заклеить можно, а микрофон останется 

"В Украине большая активность хакерских действий. Но эта операция выделяется по масштабу и количествe человеческих и материально-технических ресурсов, необходимых для анализа таких огромных объемов неструктурированных украденных данных", - рассказывает технический директор CyberX Нилл Гиллер.

CyberX установил, что в рамках операции BugDrop, по крайней мере, 70 жертв уже стали мишенью в ряде сфер (включая критически важные объекты инфраструктуры, средства массовой информации и научно-исследовательские институты). По данным исследования, злоумышленники стремятся завладеть разного рода конфиденциальной информацией: аудиозаписями разговоров, снимками экрана (скриншотами), документами и паролями, сохраненными в браузере. Жертв инфицировали с помощью фишинговых писем, которые побуждали открыть файл-приманку (документ Microsoft Word), содержащую вредоносные макросы.

"В отличие от удаленных видеозаписей, которые пользователи часто пытаются блокировать, заклеив объектив камеры ноутбука скотчем, практически невозможно заблокировать микрофон компьютера без физического доступа и отключения "железа" на ПК", - заявляют в CyberX.

Большинство объектов атаки были расположены в Украине, но есть и объекты в России, а также в Саудовской Аравии и Австрии. "Многие цели находятся в самопровозглашенных сепаратистских республиках Донецка и Луганска, которые были классифицированы как террористические организации со стороны украинского правительства", - говорится в сообщении CyberX.

Дорогая операция 

BugDrop - это не единственная недавняя операция по кибершпионажу, направленная сбор данных в ОРДЛО и параллельно на некоторые украинские цели. В мае 2016 года стало известно о проведении атаки Operation Groundbait ("Прикормка"). Помимо целей, находящихся на временно не подконтрольных Украине территориях, объектом атаки, по данным словацкой ИТ-компании Eset, также были украинские правительственные организации, журналисты и разнообразные госорганизации.

В CyberX заявляют, что сначала усматривали некоторые технические и тактические сходства между нынешней BugDrop и прошлогодней Groundbait. Но потом исследователи поняли, что BugDrop - это гораздо более сложная операция, исходя из использованных методов.

Читайте также: Антихакер из СБУ: Кибератаки на Украину стоят миллионы долларов

Помимо того, что все украденные данные отправлялись на Dropbox и не выглядели как хакерские действия (Dropbox- популярный в Украине облачный сервис, не вызывающий подозрений), командная инфраструктура была размещена на бесплатном хостинге. Это не позволяет понять, кто на самом деле стоит за атакой. Поэтому CyberX не готова утверждать, что атака могла спонсироваться другим государством или определенной группой хакеров.

Нынешняя операция также потребовала наличия массивной серверной инфраструктуры для хранения, расшифровки и анализа 2-3 ГБ неструктурированных данных в день, полученных от объектов атаки. Большая группа аналитиков должна была вручную сортировать ворованные данные.

Примеры целей BugDrop, определенные CyberX:

- компания, которая разрабатывает системы дистанционного мониторинга для инфраструктур нефте- и газатранспорта;

- международная организация, которая ведет мониторинг соблюдения прав человека, борьбы с терроризмом и кибератак на критическую инфраструктуру в Украине;

- инжиниринговая компания, которая разрабатывает электроподстанции, распределительные газопроводы и системы водоснабжения;

- научно-исследовательский институт;

- редакторы украинских газет.

Разведка перед новыми диверсиями 

Как считают эксперты CyberX, проведение разведки на объектах, это, как правило, первый этап для операций с более широкими задачами. Логично предположить, что хакеры провели разведку, чтобы определить, на каких объектах инфраструктуры удастся организовать новые диверсии.

Как уже писала LIGA.net в спецпроекте Полигон Украина: Цифровая война на пороге, в конце 2017 года на украинские объекты инфраструктуры ожидается очередная волна кибератак. Опрошенные эксперты по безопасности утверждают, что хакерской активности следует ожидать декабре. "Скорее всего, украинские государственные органы и инфраструктурные объекты в 2017 году ждет не одна и не десять кибератак, а значительно больше", - считает техдиректор Zillya! Олег Сыч.

Читайте также: Атака на гаубицы. Как российские хакеры наводили на наших военных

В конце 2015 и 2016 годов злоумышленники провели несколько операций, в ходе которых в некоторых регионах страны отключалось электричество у тысяч потребителей, выходили из строя электронные системы Укрзалізниці, непосредственно перед планированием соцвыплат и пенсий на грани уничтожения оказывались данные Госказначейства.

Украинские власти, как могут, пытаются подготовить инфраструктуру к отражению новых ударов. В частности, как недавно стало известно, Минфин собирается потратить в 2017 году 52 млн грн на обеспечение кибербезопасности государственных информационных ресурсов.

На прошлой неделе президент Петр Порошенко подписал указ, который ввел в силу решение СНБО от 29 декабря. Оно предусматривает ряд безотлагательных мер по усилению кибербезопасности госданных. В частности, указом предусмотрено создание в шестимесячный срок основного и резервного датацентров для хранения и обработки ценной для государства информации. Правда, как говорят участники рынка, выполнить задачу в заявленные сроки будет непросто.