“Operation BugDrop”惡意軟件秘密感染計算機，開啟附帶麥克風以收集音頻文件，再導出成Dropbox文件供取回并分析。

乍看似乎對美國或西歐組織影響不大的“Operation BugDrop”，但事實上，CyberX發現的這個新網絡偵察惡意軟件，可能比最初認為的重量級得多。

該惡意軟件被CyberX的研究人員稱為“Operation BugDrop”，會靜靜潛伏在某組織的計算機里，將內置或外接到計算機的麥克風聽到的所有東西都記錄下來。

每天，BugDrop惡意軟件都將這些音頻文件發送給一個Dropbox文件，上傳給黑客做進一步分析。一旦BugDrop感染了某組織，每臺電腦都會被它高效轉化為竊聽器，比間諜人員親自混進去安裝竊聽器都管用。

如此有效的原因在于，整臺計算機本身就是竊聽器。搜查辦公室清除竊聽器的嘗試將會以失敗告終——因為竊聽器就是光明正大放在眼皮子底下的眾電腦，而不是藏在辦公室某角落的小東西。

該軟件還采取了其他辦法以規避檢測。因為要滲漏音頻記錄數據，它會通過偽裝成合法流量來規避檢測。該軟件安裝的DLL也會被加密，逃避反病毒軟件的檢測。

該惡意軟件通過網絡釣魚攻擊投送，利用偽裝的微軟Office消息確保用戶開啟宏，方便惡意軟件安裝。接下來，該惡意軟件會安裝一個經混淆處理后避過AV查殺的主下載器。然后，它會往計算機注冊表中添加一個鍵，確保該軟件在計算機重啟后時能隨系統啟動。

該惡意軟件自身是用DLL注入技術安裝的，也就是將惡意軟件當做合法軟件加載過程的一部分載入，該技術又讓它逃過了反惡意軟件檢測。用公共云服務Dropbox接受監視數據的做法，也讓BugDrop規避了檢測。因為很多組織都將Dropbox流量視為正常活動，不加封阻。

雖然BugDrop惡意軟件主要用于捕獲音頻對話，它也能搜索并盜取很多類型的文檔，并從瀏覽器中偷取口令和其他信息。每個惡意軟件感染的具體動作，都能根據目標用戶的情況進行定制——從網絡釣魚郵件特別有針對性就可以知道。

惡意軟件加載的時候，會先檢查可能暴露其存在的一些軟件，比如某些類型的反惡意軟件軟件，以及行為監測軟件，比如WireShark。被滲漏的數據在發送到Dropbox之前就已加密。

CyberX共同創始人兼CTO尼爾·吉勒稱，Operation BugDrop 每天從每臺受感染計算機上抽取2.5到3GB數據。目前，該行動看起來像是俄羅斯黑客在特別針對烏克蘭授意的，但到底誰是終極黑手還不能確定。不過，所有的指標都顯示，該惡意軟件是俄羅斯制造。

吉勒稱，它針對性很高，就是瞄著關鍵基礎設施和媒體而去的。像BugDrop這樣的行動，通常會以最長持續6個月的監視開頭。這是黑客確定攻擊目標和具體攻擊方法以最高效實施攻擊的方式。

2015年12月攻擊烏克蘭電網致其大面積斷電前，俄羅斯人對烏克蘭電網的監視就持續了半年。讓吉勒認定背后黑手是俄羅斯政府的原因之一，是處理從烏克蘭盜得的大量數據所需的資源。創建該惡意軟件所需的高端水平，也顯示出了其手握大量資源的屬性。

雖然看起來 Operation BugDrop 的主要目標是烏克蘭，但在沙特阿拉伯和其他地方也發現了一些活動。該惡意軟件和偵察軟件亦能用于攻擊任何國家，包括美國。確定某網絡是否被感染的最佳方法，是監視其出站流量，看是否有滲漏跡象。該案例中就表現為，每天有很多GB數據流向Dropbox。

雖然滲漏目標可以改成其他公共云服務，但要實現滲漏任務，該惡意軟件始終要往外傳數據。網絡監視對該惡意軟件的發現十分關鍵。一旦發現，清除辦法包括：定位注冊表鍵，運行能找出它的反惡意軟件包。

但值得指出的是，僅僅因為該攻擊目前針對烏克蘭，就推測不會對自家進行攻擊的想法是毫無道理的。攻擊的發生，所需的，僅僅是動機而已。只要該攻擊幕后主使決定開展另一輪攻擊，目標指向美國或歐盟等其他國家會非常容易。