Noto agli addetti ai lavori fin dall’ormai lontano 2013, il gruppo InvisiMole si è dotato di nuovi strumenti e ha messo nel proprio mirino bersagli di alto profilo: dalle organizzazioni militari a quelle che operano nel settore della diplomazia, collocate geograficamente soprattutto nell’Europa dell’est. A svelarlo i ricercatori di ESET che insieme ad alcune vittime degli attacchi hanno potuto far luce sull’attività dei cybercriminali specializzati in operazioni di spionaggio.
ESET fa luce sull’attività del gruppo InvisiMole
Una nuova campagna è stata rilevata da fine 2019 a oggi, dopo quella che nel 2018 ha visto colpite realtà di Ucraina e Russia tramite l’impiego di backdoor. Coinvolto questa volta anche Gamaredon, altro gruppo la cui funzione è quella di svolgere il ruolo di apripista, infiltrandosi nella rete delle vittime e ottenendo così privilegi amministrativi per poi cederne a InvisiMole. Queste le parole della ricercatrice Zuzana Hromcová.
La nostra indagine rileva che le vittime designate sono state attaccate prima da un malware piuttosto comune come Gamaredon, cui poi subentra InvisiMole con tecniche sofisticate per evitare il rilevamento.
Quattro le tecniche impiegate per eludere i sistemi di controllo combinando shellcode dannoso con tool autorizzati e programmi eseguibili vulnerabili. Stando a quanto afferma ESET “il malware viene codificato con un sistema di crittografia simmetrica direttamente sul computer della vittima e può essere decrittato ed eseguito solo su quel computer”. Dispone inoltre di un “sistema di comunicazione che sfrutta il tunneling DNS e che permette di inviare e ricevere informazioni senza allertare i sistemi di controllo”.