Badacze ESET ujawniają, jak grupa InvisiMole atakowała wojskowych i dyplomatów

Następny artykuł
2020-06-22

Nowa kampania szpiegowska grupy InvisiMole umożliwiła ekspertom ESET zbadanie wykorzystywanych przez nią narzędzi oraz ujawniła powiązania z grupą Gamaredon.

Analizując nową kampanię grupy InvisiMole, po raz pierwszy opisanej przez ESET w 2018 roku, badaczom ESET udało się zdobyć nowe informacje na temat wykorzystywanych przez nią narzędzi oraz jej sposobu działania. Do odkryć doszło dzięki współpracy z organizacjami, które padły ofiarą grupy. W ramach nowej kampanii InvisiMole na swój cel brało wysokoprofilowe instytucje wojskowe oraz misje dyplomatyczne na terenie Europy Wschodniej. W oparciu o dane telemetryczne udało się ustalić, że ataki rozpoczęły się pod koniec roku 2019 i trwały co najmniej do czerwca 2020, kiedy to badacze ESET opublikowali informacje o swoich odkryciach.

Grupa InvisiMole pozostaje aktywna co najmniej od 2013 roku. Je działania zostały po raz pierwszy opisane przez ESET w związku z operacją cyberszpiegowską na terenie Ukrainy i Rosji, w której do kradzieży informacji wykorzystane zostały dwa rozbudowane backdoory.

- Udało się nam wtedy odkryć te dwa zaskakująco rozbudowane backdoory, ale nie znaliśmy szerszej perspektywy – nie wiedzieliśmy w jaki sposób były dystrybuowane i instalowane na systemach – wyjaśnia Zuzana Hromcová, analityczka ESET odpowiedzialna za badania nad InvisiMole.

Dzięki możliwości przeprowadzenia śledztwa we współpracy z organizacjami dotkniętymi atakiem, badaczom ESET udało dokonać bardziej szczegółowych analizy całej operacji.

- Udało się nam udokumentować rozbudowany zestaw narzędzi wykorzystywanych podczas dystrybucji, ruchów lateralnych oraz egzekucji backdoorów – opowiada Anton Cherepanov, analityk zagrożeń ESET, który stał na czele śledztwa.

Jednym z najważniejszych odkryć w toku śledztwa było znalezienie powiązania z inną grupą cyberprzestępców, Gamaredon. Badaczom udało się ustalić, że narzędzia będące w arsenale InvisiMole są wykorzystywane dopiero w momencie, kiedy Gamaredon zinfiltruje daną sieć oraz, jeśli to możliwe, uzyska dostęp do uprawnień administratora.

- Nasze badania sugerują, że w przypadku celów o najwyższym priorytecie dla atakujących napastnicy zastępują stosunkowo prostego wirusa, jakim jest Gamaredon, znacznie bardziej zaawansowanym InvisiMole. Dzięki temu grupa InvisiMole może działać w ukryciu, stosując kreatywne metody unikania detekcji – komentuje Zuzana Hromcová z ESET.

Aby uniknąć detekcji InvisiMole wykorzystuje cztery różne kombinacje złośliwych shellcode-ów (prostych, niskopoziomowych programów) z popularnymi bezpiecznymi narzędziami i podatnymi plikami wykonywalnymi. W celu utrudnienia analizy InvisiMole szyfruje swoje komponenty w taki sposób, że mogą być one odszyfrowane wyłącznie na zainfekowanym komputerze. Zaktualizowane narzędzia grupy obejmują także komponent, który wykorzystuje tunelowanie DNS do lepszego maskowania swojej komunikacji z serwerem sterującym.

Badacze zwracają uwagę, że nowa wersja narzędzi grupy InvisiMole wykazuje wiele istotnych usprawnień względem poprzedniczek.

- Dzięki nowej wiedzy możemy jeszcze dokładniej śledzić aktywność cyberprzestępców – podsumowała odkrycia Zuzana Hromcová z ESET.

Więcej informacji na temat narzędzi wykorzystywanych przez InvisiMole można znaleźć w specjalnie przygotowanym raporcie „InvisiMole: The hidden part of the story” (EN)