22 czerwca 2020
Badacze ESET ujawniają, jak grupa InvisiMole atakowała wojskowych i dyplomatów
Nowa kampania szpiegowska grupy InvisiMole umożliwiła ekspertom ESET zbadanie wykorzystywanych przez nią narzędzi oraz ujawniła powiązania z grupą Gamaredon.
Analizując nową kampanię grupy InvisiMole, po raz pierwszy opisanej przez ESET w 2018 roku, badaczom ESET udało się zdobyć nowe informacje na temat wykorzystywanych przez nią narzędzi oraz jej sposobu działania. Do odkryć doszło dzięki współpracy z organizacjami, które padły ofiarą grupy. W ramach nowej kampanii InvisiMole na swój cel brało wysokoprofilowe instytucje wojskowe oraz misje dyplomatyczne na terenie Europy Wschodniej. W oparciu o dane telemetryczne udało się ustalić, że ataki rozpoczęły się pod koniec roku 2019 i trwały co najmniej do czerwca 2020, kiedy to badacze ESET opublikowali informacje o swoich odkryciach.
Grupa InvisiMole pozostaje aktywna co najmniej od 2013 roku. Je działania zostały po raz pierwszy opisane przez ESET w związku z operacją cyberszpiegowską na terenie Ukrainy i Rosji, w której do kradzieży informacji wykorzystane zostały dwa rozbudowane backdoory.
- Udało się nam wtedy odkryć te dwa zaskakująco rozbudowane backdoory, ale nie znaliśmy szerszej perspektywy – nie wiedzieliśmy w jaki sposób były dystrybuowane i instalowane na systemach
Zuzana Hromcová
analityczka ESET odpowiedzialna za badania nad InvisiMole
Dzięki możliwości przeprowadzenia śledztwa we współpracy z organizacjami dotkniętymi atakiem, badaczom ESET udało dokonać bardziej szczegółowych analizy całej operacji.
- Udało się nam udokumentować rozbudowany zestaw narzędzi wykorzystywanych podczas dystrybucji, ruchów lateralnych oraz egzekucji backdoorów
Anton Cherepanov
analityk zagrożeń ESET, który stał na czele śledztwa
Jednym z najważniejszych odkryć w toku śledztwa było znalezienie powiązania z inną grupą cyberprzestępców, Gamaredon. Badaczom udało się ustalić, że narzędzia będące w arsenale InvisiMole są wykorzystywane dopiero w momencie, kiedy Gamaredon zinfiltruje daną sieć oraz, jeśli to możliwe, uzyska dostęp do uprawnień administratora.
- Nasze badania sugerują, że w przypadku celów o najwyższym priorytecie dla atakujących napastnicy zastępują stosunkowo prostego wirusa, jakim jest Gamaredon, znacznie bardziej zaawansowanym InvisiMole. Dzięki temu grupa InvisiMole może działać w ukryciu, stosując kreatywne metody unikania detekcji – komentuje
Zuzana Hromcová
ESET
Aby uniknąć detekcji InvisiMole wykorzystuje cztery różne kombinacje złośliwych shellcode-ów (prostych, niskopoziomowych programów) z popularnymi bezpiecznymi narzędziami i podatnymi plikami wykonywalnymi. W celu utrudnienia analizy InvisiMole szyfruje swoje komponenty w taki sposób, że mogą być one odszyfrowane wyłącznie na zainfekowanym komputerze. Zaktualizowane narzędzia grupy obejmują także komponent, który wykorzystuje tunelowanie DNS do lepszego maskowania swojej komunikacji z serwerem sterującym.
Badacze zwracają uwagę, że nowa wersja narzędzi grupy InvisiMole wykazuje wiele istotnych usprawnień względem poprzedniczek.
- Dzięki nowej wiedzy możemy jeszcze dokładniej śledzić aktywność cyberprzestępców – podsumowała odkrycia Zuzana Hromcová z ESET.
Więcej informacji na temat narzędzi wykorzystywanych przez InvisiMole można znaleźć w specjalnie przygotowanym raporcie „InvisiMole: The hidden part of the story” (EN)
Grzegorz Klocek
senior product manager ESET
Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34
Podobne wpisy: