Cercetătorii ESET dezvăluie modul de operare al grupului InvisiMole, care a spionat entități militare și diplomatice

2020-06-19

Cercetătorii ESET au descoperit o nouă campanie de spionaj informatic derulată de grupul InvisiMole dar și un set de instrumente malware dezvoltat cu acest prilej de ei în cooperare strategică cu grupul malware Gamaredon.

Cercetând o nouă campanie de atac informatic derulată de grupul InvisiMole, un actor de spionaj cibernetic raportat pentru prima dată de ESET în 2018, cercetătorii ESET au descoperit setul actualizat de instrumente malware care aparține grupului, precum și detalii necunoscute anterior despre modul său de operare. Descoperirile apar în cadrul unei anchete în care ESET a colaborat direct cu organizațiile afectate. În noua sa campanie de atac, grupul InvisiMole a fost identificat printr-un arsenal perfecționat de instrumente malware care le poartă semnătura digitală, gândit să aibă drept țintă organizații cu profil înalt din sectorul militar și al misiunilor diplomatice din Europa de Est. Potrivit datelor colectate de ESET, tentativele de atac au fost derulate de la sfârșitul anului 2019 până în iunie 2020, moment în care departamentul de cercetare ESET a publicat constatările sale.

Grupul InvisiMole este activ încă din 2013 și a fost documentat de ESET pentru prima oară atunci când cercetătorii au identificat legăturile grupului cu operațiunile de spionaj cibernetic care au vizat Ucraina și Rusia, moment în care exploata fraudulos două puncte vulnerabile de intrare în sistemele informatice vizate (backdoor) pentru spionarea potențialelor victime. „La acel moment, am identificat aceste backdoor-uri surprinzător de bine echipate pentru a permite derularea ulterioară de atacuri informatice, dar lipsea o mare parte din imaginea de ansamblu - nu știam cum au fost livrate în sisteme, cum au fost răspândite și instalate”, explică Zuzana Hromcová, cercetător ESET care a analizat InvisiMole.

Mulțumită colaborării  strânse cu organizațiile afectate, cercetătorii ESET au avut oportunitatea de a arunca o privire aprofundată în interiorul operațiunilor derulate de grupul InvisiMole. „Am reușit să documentăm setul extins de instrumente utilizat pentru livrarea, mișcarea laterală și execuția backdoor-urilor InvisiMole”, a declarat Anton Cherepanov, cercetătorul malware ESET care a condus ancheta.

Una dintre principalele constatări ale anchetei face referire la cooperarea grupului InvisiMole cu un alt grup infracțional, Gamaredon. Cercetătorii au descoperit că arsenalul lui InvisiMole este pornit numai după ce Gamaredon s-a infiltrat deja în rețeaua vizată și, eventual, a obținut privilegii de administrare. „Cercetările noastre sugerează că țintele considerate deosebit de importante de către atacatori au parte de un upgrade de la infectarea cu codul malware relativ simplu Gamaredon la un malware avansat InvisiMole. Acest lucru permite grupului InvisiMole să conceapă modalități creative de a opera sub radar-ul detecțiilor”, comentează Hromcová.

În ceea ce privește rămânerea sub “radar”, cercetătorii au descoperit că InvisiMole folosește patru lanțuri de execuție diferite, concepute prin combinarea codului shell malițios cu instrumente legitime și executabile vulnerabile. Pentru a ascunde malware-ul de cercetătorii de securitate, componentele InvisiMole sunt protejate cu criptare, aplicată per-victimă, atacatorii asigurându-se că încărcătura malițioasă poate fi decriptată și executată doar pe computerul afectat. Setul de instrumente InvisiMole actualizat include, de asemenea, o componentă nouă care folosește DNS tunneling pentru o comunicare C&C ascunsă.

Analizând setul de instrumente actualizat al grupului, cercetătorii au observat îmbunătățiri substanțiale în comparație cu versiunile analizate anterior. „Cu aceste noi informații, vom putea urmări mai îndeaproape activitățile rău intenționate ale grupului”, încheie Hromcová.