Výskumníci bezpečnostnej spoločnosti ESET objavili pri analýze nových útokov kybernetickej skupiny InvisiMole jej aktualizovanú sadu nástrojov. O aktivitách tejto skupiny ESET po prvý raz informoval v roku 2018. Zistenia vyplývajú zo spoločnej analýzy s dotknutými organizáciami. Nový útok sa zameral na niekoľko významných organizácií vo vojenskom sektore a na diplomatické misie vo východnej Európe. Podľa telemetrie spoločnosti ESET pokusy o útoky prebiehali od konca roka 2019 do minimálne júna 2020, kedy výskumníci spoločnosti ESET zverejnili svoje zistenia.
InvisiMole je kyberskupina aktívna minimálne od roku 2013. Prvý raz o nej ESET informoval v súvislosti s cielenými útokmi na Ukrajine a v Rusku, na sledovanie svojich obetí využívala dva backdoory so širokou funkcionalitou. „Vtedy sme našli prekvapivo dobre vybavené backdoory, ale veľká časť tohto puzzle nám chýbala - nevedeli sme, ako sa do systému obete dostali, ako sa šírili a ako sa nainštalovali,“ hovorí Zuzana Hromcová, výskumníčka spoločnosti ESET, ktorá analyzovala InvisiMole.
Vďaka analýze útokov v spolupráci s dotknutými organizáciami získali výskumníci spoločnosti ESET príležitosť dôkladne sa pozrieť pod kapotu operácií skupiny InvisiMole. „Dokázali sme zdokumentovať rozsiahlu sadu nástrojov, ktorá sa používa na dodanie škodlivého kódu, pohyb po sieti a spustenie backdooru,“ hovorí Anton Cherepanov, výskumník spoločnosti ESET, ktorý viedol analýzu InvisiMole.
Jedno z hlavných zistení sa týka spolupráce skupiny InvisiMole s ďalšou kybernetickou skupinou Gamaredon. Výskumníci zistili, že arzenál InvisiMole je do siete obete uvoľnený až po tom, čo Gamaredon do tejto siete už prenikol a prípadne i získal administratívne právomoci. „Náš výskum naznačuje, že obete, ktoré útočníci považujú za obzvlášť významné, sú cez relatívne jednoduchý škodlivý kód Gamaredon infikované pokročilým škodlivým kódom InvisiMole. To umožňuje skupine InvisiMole vymyslieť kreatívne spôsoby, ako sa chrániť pred odhalením,“ vysvetľuje Hromcová.
Skupina Gamaredon je aktívna minimálne od roku 2013 a zameriava sa hlavne na ciele na Ukrajine. Ich novší škodlivý nástroj sa zameriava na VBA makrá v programe Microsoft Outlook. VBA makrá sa ukladajú ako .OTM súbor, ide zrejme o prvý zdokumentovaný prípad zneužitia OTM súboru a Outlook makier za účelom rozosielania škodlivých e-mailov ďalším kontaktom obete. Skupina Gamaredon zasiela takéto správy na tri skupiny obete – na všetky kontakty v Outlooku, na všetky kontakty organizácie, ktorej e-mailová adresa obete prislúcha, alebo na vybrané e-mailové adresy.
Druhý nástroj sa zameriava na vloženie škodlivých makier do dokumentov, ktoré sa už v zariadení obete nachádzajú. Nástroje skupiny Gamaredon majú schopnosť dobre sa skrývať pred objavením, takúto snahu však vôbec neprejavujú. Namiesto toho sa snažia rozšíriť sa čo najviac a čo najrýchlejšie po sieti, do ktorej sa dostali. Táto kombinácia vyvoláva vo výskumníkoch ESETu otázku, či v tejto skladačke taktiež niečo nechýba.
Inak je to v prípade komponentov skupiny InvisiMole, ktoré sú chránené šifrovaním s cieľom skryť škodlivý kód pred bezpečnostnými výskumníkmi. Je ich možné dešifrovať výhradne na zariadení obete. Aktualizovaná súprava nástrojov InvisiMole obsahuje aj nový komponent, ktorý na utajenejšiu komunikáciu so svojim riadiacim serverom využíva DNS tunelovanie.
Pri analýze aktualizovaného súboru nástrojov skupiny InvisiMole výskumníci našli podstatné zlepšenia v porovnaní s predtým analyzovanými verziami. „Vďaka týmto novým poznatkom dokážeme ešte lepšie sledovať škodlivé aktivity tejto skupiny,“ uzatvára Hromcová.
Viac informácií nájdete v dokumente InvisiMole: The hidden part of the story.
O spoločnosti ESET
Spoločnosť ESET už vyše 30 rokov vyvíja popredný bezpečnostný softvér pre firmy i domácich používateľov na celom svete. Vďaka riešeniam chrániacim koncové a mobilné zariadenia, servery, šifrovaniu a dvojfaktorovej autentifikácii umožňuje firmám a organizáciám využívať plný potenciál ich technológií. ESET drží rekord v počte VB100 ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET šesťkrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália, Singapure a japonskom Tokiu. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc, Žiliny, Prahy a Brna aj v poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.