BugDrop est une opération de cyber renseignements notamment en Ukraine, mais aussi en Russie et dans d’autres pays. Cette campagne menaçant la cyberdéfense de ces pays intervient dans plusieurs secteurs via des logiciels malveillants qui utilisent Dropbox pour exfiltrer des informations dérobées. Cela inclut des enregistrements audio recueillis par des ordinateurs contaminés.
70 entités visées selon CyberX
CyberX, fournisseur de solutions de cybersécurité industrielle, est à l’origine de cette opération d’espionnage. Celui-ci confirme que son intervention a porté ses fruits. La start-up innovante déclare avoir ciblé soixante-dix victimes dans de nombreux secteurs. La campagne a visé, entre autres, les infrastructures critiques, la recherche scientifique et les médias. D’après l’équipe de chercheurs, elle a débuté en juin 2016 et elle continue jusqu’à présent. Ces experts assurent que la majorité des victimes en Ukraine se trouvent dans les états séparatistes de Luhansk et de Donetsk. Dans le cadre de cette opération, d’autres organismes sont situés en Russie, et à un niveau moins important, en Autriche et en Arabie Saoudite.
Le vice-président à la cybersécurité industrielle et au marketing chez ce grand fournisseur, Phil Neray, a expliqué trois hypothèses. Étant donné la répartition géographique des attaques, la première possibilité est qu’il s’agit d’Ukrainiens espionnant des Ukrainiens pro-russes. Il est également probable que ce soient des Russes surveillant les Ukrainiens. La dernière supposition est que cela puisse être l’œuvre de pirates tiers qui proposent leurs services pour la location.
Les cibles comprennent plusieurs types d’entreprises. Parmi celles-ci, on retrouve une entité travaillant dans la surveillance des infrastructures de pétrole. Cela inclut également une organisation de défense des droits humains qui est à l’affût des cyberattaques et une entreprise d’ingénierie spécialisée en infrastructures essentielles modernes. Enfin, les attaques concernent aussi un institut de recherche scientifique et des médias ukrainiens.
Une technique d’espionnage plus intelligente
Cette opération est comparable à celle de Groundabait de 2016. Cependant, la grande différence réside dans le fait que cette fois-ci, on se sert de méthodes beaucoup plus avancées. Ces experts exploitent en effet le service de stockage de Dropbox pour exfiltrer les données. Ce qui rend cette technique intéressante est que les autres systèmes de surveillance de votre réseau ne seront pas bloqués, car tous les usagers les utilisent.
À cela s’ajoute l’utilisation d’injections de DLL réfléchissantes. Il s’agit de la même méthode pour injecter des logiciels malveillants utilisés dans les attaques sur les installations nucléaires iraniennes. Les hackers derrière cette campagne se servent également du cryptage des DLL malicieux afin d’empêcher la détection.
Le fournisseur confirme que le logiciel en question a une capacité remarquable d’enregistrement des données audio. Selon lui, les pirates possèdent une infrastructure massive de back-end pour déposer, déchiffrer et travailler plusieurs gigaoctets de données par jour. Une équipe d’analystes humains est requise pour les traiter manuellement. Ce logiciel est aussi en mesure d’effectuer une capture d’écran et de dérober des fichiers.
Le processus de contamination
L’infection se fait par phishing, via une fausse liste d’informations sensibles concernant des militaires. L’opération atteint ses cibles grâce à des messages frauduleux assortis de pièces jointes Microsoft Office avec de macros malicieuses. Il semble que celles-ci ont été écrites en russe. Les attaquants ont créé une fausse boîte de dialogue invitant les usagers à activer ces macros, sous prétexte de bien afficher le contenu. Ainsi la phase d’infection se fait en plusieurs étapes. Au final, cela permet de vérifier de nombreuses techniques et produits anti-malware.