Az ESET feltérképezte a katonai célpontokat is támadó InvisiMole csoportot


2020.07.02.

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is. Az InvisiMole csoport elsősorban magas szintű katonai és diplomáciai szervezeteket célzott meg Kelet-Európában, azonban a Gamaredon csoporttal történő együttműködés révén mindez idővel az üzleti felhasználók, vállalatok számára is veszélyes lehet. Az ESET telemetriai adatai szerint a támadási kísérletek 2019 végétől legalább 2020 júniusáig tartottak, amikor az ESET kutatói közzétették a vizsgálatok eredményeit.

A legalább 2013 óta aktív InvisiMole csoport tevékenységéről elsőként az ESET számolt be, néhány ukrajnai és orosz kiberkémkedési esettel kapcsolatban, ahol kétfunkciós backdoor programokkal kutakodtak az áldozatok után. „Akkoriban megtaláltuk ugyan a meglepően jól felszerelt backdoor (hátsóajtó, azaz illetéktelenek számára észrevétlen távoli bejutást, elérést biztosító kártékony kód) programokat, azonban a kép eddig hiányos volt – nem tudtuk, hogyan terjesztették és juttatták el az áldozatok gépére a kártevőket, illetve miként telepítették ezeket” – mondta Zuzana Hromcová, az ESET kutatója.

A támadásban érintett szervezetekkel történő együttműködés során az ESET kutatói most lehetőséget kaptak arra, hogy alaposabban megvizsgálják az InvisiMole működését. "Végre dokumentálni tudtuk az InvisiMole a backdoor programok kézbesítéséhez, mozgatásához és elindításához használt kiterjedt eszközkészletet" - mondta a vizsgálatot vezető Anton Cherepanov, az ESET vezető biztonsági kutatója.

A vizsgálat egyik legjelentősebb megállapítása, hogy fény derült az InvisiMole és egyik másik ismert hackercsoport, a Gamaredon együttműködésére. A Gamaredon a Microsoft Outlook programot támadva adathalász leveleket küld a kontaktlistában található címekre, és kártevőkkel fertőzi meg a Microsoft Office dokumentumokat. A kutatók felfedezték, hogy az InvisiMole arzenálja csak akkor lép működésbe, ha a Gamaredon már bejutott az áldozatok hálózatába, és azon belül adminisztrátori jogosultságokat is szerzett.

„Az eredmények azt sugallják, hogy a támadók által különösen jelentősnek tartott célpontok esetében a viszonylag egyszerű Gamaredon kártevőket a fejlett InvisiMole programok váltják. Ez lehetővé teszi az InvisiMole csoport számára, hogy kreatív módszereket kidolgozva maradjon észrevétlen”- tette hozzá Hromcová.

Az észrevétlen működéssel kapcsolatban a kutatók azt találták, hogy az InvisiMole négy különféle végrehajtási láncot használ, amelyeket úgy alakítottak ki, hogy a rosszindulatú kódot legális eszközökkel és futtatható fájlokkal kombinálják. A rosszindulatú programok elrejtésének érdekében az InvisiMole összetevőit az áldozatokhoz köthető egyedi titkosítással védik, így az állományokat csak az érintett számítógépen lehet visszafejteni és futtatni. A frissített InvisiMole eszközkészlet emellett tartalmaz egy új komponenst is, amely az úgynevezett DNS tunnel technikát használja a rejtett C&C (command-and-control, a támadó fél vezérlő és kommunikáció szervere) kommunikációhoz.

A Gamaredon .NET downloader „frissíti” az áldozatok gépét az InvisiMole TCP letöltő programjára

Az ESET szakemberei 3 konkrét módszert találtak az InvisiMole terjesztésére a fertőzött hálózatokban:

  • A BlueKeep sebezhetőség révén RDP protokolban (CVE-2019-0708),
  • az EternalBlue sebezhetőségen keresztül az SMB protokolban (CVE-2017-0144),
  • valamint a trójai programokkal fertőzött dokumentumok és szoftvertelepítők segítségével, amelyeket a támadni kívánt szervezetektől ellopott jóindulatú fájlok alapján fejlesztettek.

A csoport frissített eszközkészletét elemezve az ESET kutatói jelentős fejlődést tapasztaltak a korábbi verziókhoz képest, amelyet nem csak katonai vagy diplomáciai, hanem üzleti hírszerzésre is felhasználhatnak a későbbiekben. "Ezzel az új tudással még szorosabban nyomon követhetjük a csoport rosszindulatú tevékenységeit a jövőben" - mondta Hromcová.

Az alaposabb vizsgálatokban rengeteg fertőzött gépet is találtak, amelyeken már több mint nyolcezer dokumentumot készítettek elő ellopásra. Ezek kiszivárgása egy cég életében hatalmas károkat okozhat. Mivel az InvisiMole a céges, vállalati felhasználók számára kifejezetten komoly fenyegetést jelent, ezért érdemes egyrészt a fertőzési vektorok elleni védekezésként frissíteni, és naprakészen tartani a vállalati rendszereket, hiszen mind a BlueKeep, mind az EternalBlue sérülékenység ellen már évek óta letölthető a hibajavítás. Természetesen a naprakész vírusvédelem mellett az ebben az incidensben is érintett Office programok rendszeres hibajavító frissítése is kiemelten fontos.

Emellett megkerülhetetlen a rendszeres céges biztonságtudatossági képzések és a vállalati hálózatok biztonságos beállításának témaköre is, hiszen a feleslegesen nyitott portok, nyitva hagyott RPD kapcsolat, illetve a felhasználók óvatlansága miatt megnyitott kéretlen levélmellékletek, lekattintott rosszindulatú link hivatkozások is komoly fenyegetést, veszélyt jelenthetnek.

Az InvisiMole legújabb eszközkészletének részletesebb elemzése a WeLiveSecurity oldalon található háttéranyagban olvasható.