हमलावर निजी तौर पर बातचीत सुनने और ड्रॉपबॉक्स पर डेटा चोरी करने के लिए पीसी माइक्रोफ़ोन पर जासूसी करके यूक्रेन में साइबर जासूसी अभियान फैला रहे हैं। डब्ड ऑपरेशन बगड्रॉप, हमले ने महत्वपूर्ण बुनियादी ढांचे, मीडिया और वैज्ञानिक शोधकर्ताओं को लक्षित किया है।

साइबरस्पेसिटी फर्म साइबरएक्स ने हमलों की पुष्टि करते हुए कहा कि ऑपरेशन बगड्रॉप ने पूरे यूक्रेन में कम से कम 70 पीड़ितों को मारा है। साइबरएक्स के अनुसार, साइबर जासूसी ऑपरेशन को पेश करने के लिए जून 2016 की तुलना में बाद में शुरू नहीं हुआ। कंपनी ने कहा:

ऑपरेशन अपने लक्ष्यों से बातचीत, स्क्रीन शॉट्स, दस्तावेज़ और पासवर्ड सहित संवेदनशील सूचनाओं की एक श्रृंखला को कैप्चर करना चाहता है। वीडियो रिकॉर्डिंग के विपरीत, जो अक्सर उपयोगकर्ताओं द्वारा कैमरा लेंस पर टेप लगाकर अवरुद्ध कर दिया जाता है, पीसी हार्डवेयर के बिना भौतिक रूप से एक्सेस और अक्षम किए बिना आपके कंप्यूटर के माइक्रोफ़ोन को ब्लॉक करना लगभग असंभव है।

लक्ष्य और विधियाँ

ऑपरेशन बगड्रॉप के लक्ष्यों में कुछ उदाहरण शामिल हैं:

• एक कंपनी जो तेल और गैस पाइपलाइन इन्फ्रास्ट्रक्चर के लिए रिमोट मॉनिटरिंग सिस्टम डिजाइन करती है।
• एक अंतरराष्ट्रीय संगठन जो यूक्रेन में महत्वपूर्ण बुनियादी ढांचे पर मानवाधिकारों, आतंकवाद और साइबर हमले की निगरानी करता है।
• एक इंजीनियरिंग कंपनी जो विद्युत सबस्टेशन, गैस वितरण पाइपलाइन और पानी की आपूर्ति संयंत्रों को डिजाइन करती है।
• एक वैज्ञानिक अनुसंधान संस्थान।
• यूक्रेनी अखबारों के संपादक।

विशेष रूप से, हमले ने यूक्रेन के अलगाववादी राज्यों डोनेट्स्क और लुहानस्क में पीड़ितों को निशाना बनाया। ड्रॉपबॉक्स के अलावा, हमलावर भी निम्नलिखित उन्नत रणनीति का उपयोग कर रहे हैं:

• चिंतनशील DLL इंजेक्शन, मैलवेयर इंजेक्ट करने के लिए एक उन्नत तकनीक जो यूक्रेनी ग्रिड हमलों में ब्लैकइन्र्जी द्वारा और ईरानी परमाणु सुविधाओं पर स्टुक्नेट हमलों में ड्यूक द्वारा भी इस्तेमाल की गई थी। चिंतनशील DLL इंजेक्शन सामान्य विंडोज एपीआई कॉल के बिना दुर्भावनापूर्ण कोड को लोड करता है, जिससे मेमोरी में लोड होने से पहले कोड के सुरक्षा सत्यापन को दरकिनार कर देता है।
• एन्क्रिप्टेड DLL, जिससे आम एंटी-वायरस और सैंडबॉक्सिंग सिस्टम द्वारा पता लगाने से बचा जाता है क्योंकि वे एन्क्रिप्टेड फ़ाइलों का विश्लेषण करने में असमर्थ हैं।
• अपने कमांड-एंड-कंट्रोल इन्फ्रास्ट्रक्चर के लिए वैध वेब होस्टिंग साइटें। C & C सर्वर हमलावरों के लिए एक संभावित नुकसान हैं क्योंकि जांचकर्ता अक्सर C & C सर्वर के लिए पंजीकरण विवरण का उपयोग करके हमलावरों की पहचान कर सकते हैं जो कि स्वतंत्र रूप से उपलब्ध उपकरण जैसे कि व्हिस और पैसिवोटल के माध्यम से प्राप्त होते हैं। दूसरी ओर नि: शुल्क वेब होस्टिंग साइटें, पंजीकरण की बहुत कम या कोई जानकारी की आवश्यकता होती हैं। ऑपरेशन बगड्रॉप कोर मैलवेयर मॉड्यूल को संक्रमित करने के लिए डाउनलोड करने के लिए एक मुफ्त वेब होस्टिंग साइट का उपयोग करता है। इसकी तुलना में, ग्राउंडबैट हमलावरों ने अपने स्वयं के दुर्भावनापूर्ण डोमेन और आईपी पते के लिए पंजीकरण और भुगतान किया।

साइबरएक्स के अनुसार, ऑपरेशन बगड्रॉप ने ऑपरेशन ग्राउंडबैट की भारी नकल की, जो मई 2016 में रूस समर्थक व्यक्तियों को लक्षित करके खोजी गई थी।