Egy hírhedt kiberbanda lepleződött le

​Az InvisiMole kibercsoport tevékenységének vizsgálata során biztonsági szakértők megállapították, hogy újabb támadóeszközök és módszerek kerültek előtérbe, amik komoly fenyegetést jelentenek.
 

A legalább 2013 óta aktív InvisiMole csoport tevékenységéről elsőként az ESET számolt be néhány ukrajnai és orosz kiberkémkedési esettel kapcsolatban, ahol kétfunkciós backdoor programokkal kémkedtek az áldozatok után az elkövetők.
 

"Akkoriban megtaláltuk ugyan a meglepően jól felszerelt backdoor (hátsóajtó) programokat, azonban a kép eddig hiányos volt - nem tudtuk, hogyan terjesztették, és juttatták el az áldozatok gépére a kártevőket, illetve miként telepítették ezeket"

- mondta Zuzana Hromcová, az ESET kutatója.
 
A támadásban érintett szervezetekkel történő együttműködés során a kutatók lehetőséget kaptak arra, hogy alaposabban megvizsgálják az InvisiMole működését.

"Végre dokumentálni tudtuk a backdoor programok terjesztéséhez, mozgatásához és elindításához használt kiterjedt eszközkészletet"

- nyilatkozta a vizsgálatot vezető Anton Cherepanov, az ESET vezető biztonsági kutatója.
 
A vizsgálat egyik legjelentősebb megállapítása, hogy fény derült az InvisiMole és egyik másik ismert hackercsoport, a Gamaredon együttműködésére. A Gamaredon egyik bevett módszere, hogy adathalász leveleket küldözget, és kártevőkkel fertőzi meg a Microsoft Office dokumentumokat. A kutatók felfedezték, hogy az InvisiMole arzenálja csak akkor lép működésbe, ha a Gamaredon már bejutott az áldozatok hálózatába, és ott adminisztrátori jogosultságokat szerzett.
 

"Az eredmények azt sugallják, hogy a támadók által különösen jelentősnek tartott célpontok esetében a viszonylag egyszerű, Gamaredon kártevőket a fejlett InvisiMole programok váltják"

- tette hozzá Hromcová.
 
Az InvisiMole négy különféle végrehajtási láncot használ, amelyeket úgy alakítottak ki, hogy a rosszindulatú kódokat legális eszközökkel és futtatható fájlokkal kombinálják. Az ártalmas programok elrejtésének érdekében a káros összetevőket egyedi titkosítással védik oly módon, hogy a problémás állományokat csak az érintett számítógépen lehet visszafejteni és futtatni. A frissített InvisiMole eszközkészlet emellett tartalmaz egy új komponenst is, amely az úgynevezett DNS tunnel technikát használja a rejtett C&C kommunikációhoz.
 
Az ESET szakemberei három konkrét módszert tártak fel az InvisiMole kódok terjesztésére a fertőzött hálózatok vizsgálata során:

• BlueKeep sebezhetőség révén RDP protokollon keresztül (CVE-2019-0708)
• EternalBlue sebezhetőség kihasználásával SMB protokollon keresztül (CVE-2017-0144)
• Trójai programokkal fertőzött dokumentumok és szoftvertelepítők segítségével.

 
A csoport frissített eszközkészletét elemezve a szakértők jelentős fejlődést tapasztaltak a korábbi verziókhoz képest, amelyet az elkövetők nem kizárólag katonai vagy diplomáciai, hanem üzleti hírszerzésre is felhasználhatnak a későbbiekben.
 
Mivel az InvisiMole a céges, vállalati felhasználók számára kifejezetten komoly fenyegetést jelent, ezért érdemes egyrészt frissíteni, és naprakészen tartani a vállalati rendszereket, hiszen mind a BlueKeep, mind az EternalBlue sérülékenység ellen már évek óta letölthetők a hibajavítások. Emellett nélkülözhetetlen a rendszeres biztonságtudatossági képzés, valamint a többszintű védelem kialakítása is.