Cercetătorii ESET au descoperit o nouă campanie de spionaj informatic derulată de grupul InvisiMole, asupra unor entităţi militare şi diplomatice

Cercetătorii ESET au descoperit o nouă campanie de spionaj informatic derulată de grupul InvisiMole, dar şi un set de instrumente malware dezvoltat cu acest prilej de ei, în cooperare strategică cu grupul malware Gamaredon.

Cercetând o nouă campanie de atac informatic derulată de grupul InvisiMole, un actor de spionaj cibernetic raportat pentru prima dată de ESET în 2018, cercetătorii ESET au descoperit setul actualizat de instrumente malware care aparţine grupului, precum şi detalii necunoscute anterior despre modul său de operare. Descoperirile apar în cadrul unei anchete în care ESET a colaborat direct cu organizaţiile afectate. În noua sa campanie de atac, grupul InvisiMole a fost identificat printr-un arsenal perfecţionat de instrumente malware care le poartă semnătura digitală, gândit să aibă drept ţintă organizaţii cu profil înalt din sectorul militar şi al misiunilor diplomatice din Europa de Est. Potrivit datelor colectate de ESET, tentativele de atac au fost derulate de la sfârşitul anului 2019 până în iunie 2020, moment în care departamentul de cercetare ESET a publicat constatările sale.

Grupul InvisiMole este activ încă din 2013 şi a fost documentat de ESET pentru prima oară atunci când cercetătorii au identificat legăturile acestuia cu operaţiunile de spionaj cibernetic care au vizat Ucraina şi Rusia. În acel caz, InvisiMole exploata fraudulos două puncte vulnerabile de intrare în sistemele informatice vizate (backdoor) pentru spionarea potenţialelor victime. „La acel moment, am identificat aceste backdoor-uri surprinzător de bine echipate pentru a permite derularea ulterioară de atacuri informatice, dar lipsea o mare parte din imaginea de ansamblu - nu ştiam cum au fost livrate în sisteme, cum au fost răspândite şi instalate”, explică Zuzana Hromcová, cercetător ESET care a analizat InvisiMole.

Mulţumită colaborării strânse cu organizaţiile afectate, cercetătorii ESET au avut oportunitatea de a arunca o privire aprofundată în interiorul operaţiunilor derulate de grupul InvisiMole. „Am reuşit să documentăm setul extins de instrumente utilizat pentru livrarea, mişcarea laterală şi execuţia backdoor-urilor InvisiMole”, a declarat Anton Cherepanov, cercetătorul malware ESET care a condus ancheta.

Una dintre principalele constatări ale anchetei face referire la cooperarea grupului InvisiMole cu un alt grup infracţional, Gamaredon. Cercetătorii au descoperit că arsenalul lui InvisiMole este pornit numai după ce Gamaredon s-a infiltrat deja în reţeaua vizată şi, eventual, a obţinut privilegii de administrare. „Cercetările noastre sugerează că ţintele considerate deosebit de importante de către atacatori au parte de un upgrade de la infectarea cu codul malware relativ simplu Gamaredon, la un malware avansat InvisiMole. Acest lucru permite grupului InvisiMole să conceapă modalităţi creative de a opera sub radar-ul detecţiilor”, comentează Hromcová.

În ceea ce priveşte rămânerea sub “radar”, cercetătorii au descoperit că InvisiMole foloseşte patru lanţuri de execuţie diferite, concepute prin combinarea codului infectat cu instrumente legitime şi executabile vulnerabile. Pentru a ascunde malware-ul de cercetătorii de securitate, componentele InvisiMole sunt protejate cu criptare, aplicată per-victimă, atacatorii asigurându-se că încărcătura infectată poate fi decriptată şi executată doar pe computerul afectat. Setul de instrumente InvisiMole actualizat include, de asemenea, o componentă nouă care foloseşte DNS tunneling pentru o comunicare C&C ascunsă.

Analizând setul de instrumente actualizat al grupului, cercetătorii au observat îmbunătăţiri substanţiale în comparaţie cu versiunile analizate anterior. „Cu aceste noi informaţii, vom putea urmări mai îndeaproape activităţile rău intenţionate ale grupului”, încheie Hromcová.

Metoda de operare explicată pe larg AICI.