ESET dévoile le modus operandi du groupe de cybercriminels InvisiMole

A l’occasion du Virtual World 2020, événement organisé par ESET, la société avait dévoilé les principales techniques d’intrusion adoptées par les hackers en analysant certains cas précis. Parmi ceux-ci, celui concernant InvisiMole a acquis une certaine importance.

Nous parlons d’un groupe de cybercriminels qui, ces dernières années, auraient affecté certaines organisations de premier plan dans le secteur militaire et diplomatique de l’Europe de l’Est. Les chercheurs d’ESET ont réussi à analyser la dernière attaque d’InvisiMole et à découvrir les stratégies et les outils utilisés jusqu’à présent.

ESET: voici les “ armes ” du groupe InvisiMole

Les activités d’InvisiMole ont été signalées pour la première fois par ESET lui-même en 2018, en relation avec des opérations de cyberespionnage ciblées en Ukraine et en Russie. Selon les analyses d’ESET, cependant, le groupe est actif depuis au moins 2013.

zuzana hromcova eset

«À l’époque, nous avons identifié ces portes dérobées résolument avancées, mais il manquait une image globale: nous ne savions pas comment elles étaient incluses dans le système», explique Zuzana Hromcová, la chercheuse d’ESET qui a analysé le groupe InvisiMole.

Des analyses concernant les attaques InvisiMole ont été menées en collaboration avec les organisations concernées. De cette manière, les analystes d’ESET ont pu mener une enquête approfondie sur les techniques utilisées par les pirates. Anton Cherepanov, analyste de malwares chez ESET, parle donc de la documentation réalisée sur «un grand ensemble d’outils» utilisé par InvisiMole pour ses backdoors.

Parmi les découvertes d’ESET se détache celle inhérente à la collaboration du groupe InvisiMole avec un autre collectif de cybercriminels, tel Gamaredon, qui aurait joué un rôle de “ précurseur ” dans les attaques précitées: les hackers se seraient infiltrés dans le réseau des victimes obtenant des privilèges administratifs, ouvrant ainsi la voie à InvisiMole.

“Notre enquête révèle que les victimes ciblées ont d’abord été attaquées par un malware assez courant tel que Gamaredon, qui est ensuite remplacé par InvisiMole avec des techniques sophistiquées pour éviter la détection”, a ajouté Hromcová d’ESET.

Selon l’analyse des chercheurs d’ESET, les attaques InvisiMole sont basées sur la combinaison d’un shellcode malveillant avec des outils autorisés et des fichiers exécutables vulnérables. Le malware est crypté directement sur l’ordinateur de la victime à l’aide d’un système de cryptage symétrique et ne peut être exécuté que sur ce système. Comme si cela ne suffisait pas, le malware serait équipé d’un système de communication particulier qui utilise le tunnel DNS pour envoyer et recevoir des informations sans alerter les systèmes de contrôle.

Grâce aux nouvelles informations recueillies, les chercheurs d’ESET “pourront contrôler encore plus efficacement les activités illégales du groupe”, assure Hromcová.

.