Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Giu 19, 2020 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 1
Sono conosciuti dal 2013, ma solo nelle ultime settimane i ricercatori di ESET sono riusciti a comprendere fino in fondo le tecniche che usano. Dei cyber-spioni di InvisiMole (che suona come “talpa invisibile”) si sapeva solo che utilizzassero backdoor piuttosto sofisticate e che fossero specializzati nello spionaggio diretto a bersagli che operano nel settore diplomatico e militare in Europa orientale.
Ora, con un dettagliato report, i ricercatori di ESET hanno descritto le tecniche utilizzate dagli hacker per nascondere la loro presenza, muoversi all’interno delle reti compromesse e installare i loro strumenti di spionaggio. Di più: dallo studio emerge anche il fatto che InvisiMole collabora con un altro gruppo chiamato Gamaredon.
Il rapporto tra i due soggetti, secondo gli analisti, è una sorta di sinergia ispirata dall’opportunismo. I membri di Gamaredon utilizzano tecniche di attacco e malware piuttosto comuni, ma quando riescono a infiltrarsi in una rete che risulta essere particolarmente interessante, cedono il passo a InvisiMole, che sfrutta la breccia creata dai “colleghi” per installare i suoi strumenti di spionaggio.
In pratica i pirati di InvisiMole entrano in campo quando “il gioco si fa duro” per sfruttare al massimo l’opportunità creata dai loro gregari.
Nel report pubblicato da ESET sul suo sito Internet, emerge come l’arsenale di InvisMole utilizzi delle tecniche di offuscamento estremamente sofisticate. I pirati informatici utilizzano infatti un sistema che riduce le probabilità che i loro malware siano analizzati, attraverso un particolare sistema di crittografia che sfrutta la funzione Data Protection API di Windows, utilizzata per la memorizzazione di credenziali “sensibili” all’interno del sistema operativo.
In pratica, il codice del malware viene codificato utilizzando un sistema di crittografia simmetrica direttamente sul computer della vittima e può essere decrittato ed eseguito solo su quel computer.
Una tecnica, questa, che impedisce di decodificare e studiare il malware in altri ambienti e che permette quindi ai pirati di InvisiMole di eludere la maggior parte dei controlli, come quelli eseguiti nelle sandbox.
Il malware, inoltre, utilizza vari sistemi di comunicazione verso i server controllati dai pirati informatici, tra cui uno che sfrutta il sistema DNS e che permette loro di inviare e ricevere informazioni senza allertare i sistemi di controllo.
Non solo: i pirati utilizzano un formato eseguibile personalizzato, che i ricercatori hanno battezzato con il nome di “blob”, grazie al quale riescono a offuscare ulteriormente il codice dei loro strumenti di spionaggio.
La punta di diamante del loro arsenale informatico è però una backdoor chiamata RC2CL, le cui funzionalità sono descritte in un report precedente pubblicato da ESET e di cui abbiamo parlato in questo articolo.
Per colpire le altre macchine all’interno del network, i pirati di InvisiMole utilizzano una serie di exploit derivati direttamente o indirettamente dal celebre leak degli Shadow Brokers, che conteneva una serie di vulnerabilità utilizzate dai servizi segreti statunitensi, come EternalBlue e DoublePulsar. On è escluso, però, che queste tecniche siano state utilizzate solo per un breve periodo di tempo e che ora vengano utilizzati nuovi strumenti che sfruttano exploit più aggiornati.
Insomma: il quadro complessivo è quello di un gruppo dedito al cyber spionaggio con caratteristiche di professionalità e la disponibilità di strumenti estremamente complessi.
Nov 12, 2024 0
Ott 08, 2024 0
Ott 01, 2024 0
Set 10, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Devi essere connesso per inviare un commento.
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...
interessante