ESET svela il modus operandi del gruppo di cybercriminali InvisiMole

In occasione del Virtual World 2020, evento organizzato da ESET, la compagnia aveva rivelato le principali tecniche di intrusione adottate dagli hacker analizzando alcuni casi specifici. Tra questi, quello riguardante InvisiMole ha acquisito una certa rilevanza.

Parliamo di un gruppo di cybercriminali che negli ultimi anni avrebbe colpito alcune organizzazioni di alto profilo nel settore militare e diplomatico dell'Europa dell'est. I ricercatori di ESET sono riusciti ad analizzare l'ultimo attacco proveniente da InvisiMole, scoprendone le strategie e gli strumenti utilizzati finora.

ESET: ecco le 'armi' del gruppo InvisiMole

Le attività di InvisiMole sono state riportate per la prima volta dalla stessa ESET nel 2018, in relazione ad operazioni di cyberspionaggio mirate in Ucraina e Russia. Secondo le analisi di ESET, tuttavia, il gruppo sarebbe attivo almeno dal 2013.

"All'epoca abbiamo identificato queste backdoor decisamente avanzate, ma mancava un quadro d’insieme: non sapevamo come fossero state inserite nel sistema", spiega Zuzana Hromcová, la ricercatrice di ESET che ha analizzato il gruppo InvisiMole.

Le analisi riguardanti gli attacchi di InvisiMole sono state condotte in collaborazione con le organizzazioni colpite. In tal modo gli analisti di ESET hanno potuto effettuare un'accurata indagine in merito alle tecniche utilizzate dagli hacker. Anton Cherepanov, analista malware di ESET, parla dunque della documentazione effettuata su "un ampio set di strumenti" utilizzato da InvisiMole per le sue backdoor.

Tra le scoperte di ESET spicca quella inerente alla collaborazione del gruppo InvisiMole con un altro collettivo di cybercriminali, tale Gamaredon, il quale avrebbe ricoperto un ruolo da 'apripista' nei suddetti attacchi: gli hacker si sarebbero infiltrati nella rete delle vittime ottenendo privilegi amministrativi, spianando così la strada a InvisiMole.

"La nostra indagine rileva che le vittime designate sono state attaccate prima da un malware piuttosto comune come Gamaredon, cui poi subentra InvisiMole con tecniche sofisticate per evitare il rilevamento", ha aggiunto Hromcová di ESET.

Stando alle analisi dei ricercatori ESET, gli attacchi di InvisiMole si basano sulla combinazione di shellcode dannoso con tools autorizzati e file eseguibili vulnerabili. Il malware viene codificato direttamente sul computer della vittima mediante un sistema di crittografia simmetrica e può essere eseguito solo su quel sistema. Come se ciò non bastasse, il malware sarebbe dotato di un particolare sistema di comunicazione che sfrutta il tunneling DNS per inviare e ricevere informazioni senza allertare i sistemi di controllo.

Grazie alle nuove informazioni raccolte, i ricercatori di ESET saranno "in grado di monitorare ancora più efficacemente le attività illecite del gruppo", assicura Hromcová.