پژوهشگران امنیت سایبری از روش کار یک گروه تهدید که شخصیتهای برجستهی نظامی و دیپلماتیک در اروپای شرقی را بهمنظور جاسوسی هدف قرار میدهد، پردهبرداری کرد. این یافتهها بخشی از تجزیه و تحلیل شرکت امنیت سایبری ESET و شرکتهای تحت تأثیر است که منجر به بررسی گستردهی عملیات InvisiMole و روشها و ابزراها و رویههای این گروه شده است.
این شرکت در گزارش خود بیان کرد که پژوهشگران ESET با همکاری سازمانهایی که تحت تأثیر قرار گرفتاند، تحقیقی دربارهی این حملات انجام داده و توانستهاند مجموعه ابزارهای گسترده و پیچیدهی استفادهشده برای توزیع، حرکات جانبی و اجرای دربهای پشتی InvisiMole را کشف کنند.
InvisiMole اولین بار در سال ۲۰۱۸ میلادی کشف شد و حداقل از سال ۲۰۱۳ میلادی در عملیات جاسوسی سایبری هدفمند در اوکراین و روسیه فعال بوده است. این عامل تهدید پس از فعالیت مخفیانه در اواخر سال گذشته با یک مجموعه ابزار بهروزرسانیشده و روشهای ناشناخته برای مبهمسازی بدافزار بازگشت.
پژوهشگران ESET در گزارش ماه ژوئن سال ۲۰۱۸ میلادی خاطرنشان کرده بودند که InvisiMole یک معماری ماژولار دارد که فعالیت خود را با یک wrapper DLL آغاز کرده است و اقدامات خود را با استفاده از دو ماژول دیگر که در منابع آن تعبیه شده است، انجام میدهد. هر دو ماژول دربهای پشتی feature-rich هستند که در کنار هم امکان جمعآوری اطلاعات بیشتر در مورد هدف را فراهم میکنند.
پژوهشگران متوجه شدند که جاسوسافزار feature-rich به نام RC2FM و RC2CL قادر به ایجاد تغییرات سیستمی، اسکن شبکههای بیسیم برای ردیابی مکان جغرافیایی قربانیان، جمعآوری اطلاعات کاربر و حتی بارگذاری فایلهای حساس در دستگاه آسیبدیده است. اما سازوکار دقیق توزیع بدافزار تاکنون مشخص نشده است.
ESET نه تنها شواهدی از به کارگیری روشهای «living off the land» یافته است که از برنامههای قانونی برای انجام عملیات مخفیانه بهرهبرداری میکند، بلکه ارتباطاتی با عامل تهدید ثانویه به نام گروه Gamaredon نیز یافته است که در حملات سایبری علیه مؤسسههای اوکراین سابقهی طولانی دارد.
از Gamaredon برای بار دادهی مخفی استفاده میشود و تعداد اندکی از اهداف Gamaredon به بدافزار InvisiMole ارتقا یافتهاند. این بدافزار پس از دستیابی مهاجمان به امتیازات مدیر مستقر میشود، زیرا بسیاری از روشهای اجرای InvisiMole به مجوزهای سطح بالاتر نیاز دارند.
پس از آنکه InvisiMole سیستم را در معرض خطر قرار داد، از آسیبپذیریهای BlueKeep و EternalBlue در پروتکلهای RDP و SMB بهرهبرداری میکند و یا از اسناد دارای تروجان و برنامههای نصب نرمافزار برای انتشار در سراسر شبکه استفاده میکند.
این بدافزار علاوهبر استفاده از نسخههای بهروزرسانیشدهی دربهای پشتی RC2CL و RC2FM، یک برنامهی بارگیری TCS جدید برای بارگیری ماژولهای بیشتر و یک برنامهی بارگیری DNS را به کار میگیرد که از DNS tunneling برای پنهان کردن ارتباطات با سرور تحت کنترل یک مهاجم استفاده میکند.
با استفاده از DNS tunneling کلاینتی که در معرض خطر قرار گرفته است بهطور مستقیم با سرور فرمان و کنترل ارتباط برقرار نمیکند، بلکه تنها با سرورهای DNS بیخطری ارتباط برقرار میکند که قربانی معمولاً با آنها ارتباط برقرار میکند. سپس سرور DNS با سرور مربوط به دامنه در درخواست ارتباط برقرار میکند که سرور نام تحت کنترل مهاجم است و پاسخ آن را به کلاینت باز میگرداند.
دربپشتی RC2CL با قابلیت روشن کردن دوربین و میکروفن برای گرفتن عکس و ضبط ویدئو و تهیهی اسکرینشات، جمعآوری اطلاعات شبکه، فهرست کردن نرمافزار نصبشده و نظارت بر اسنادی که اخیراً قربانی به آنها دسترسی یافته است، از ۸۷ دستور پشتیبانی میکند. اگرچه RC2FM چندان مورد استفاده قرار نمیگیرد اما در کنار مجموعه دستورات استخراج اسناد خود ویژگیهای جدیدی برای ثبت keystrokeها و دور زدن کنترل دسترسی کاربر دارد.
علاوهبرآن، نسخههای جدید RC2CL و RC2FM ابزارهای مخصوص خود را برای فرار از شناسایی ضدبدافزار دارند. اهداف مورد توجه مهاجمان از بدافزار نسبتاً سادهی Gamaredon به بدافزار InvisiMole ارتقا یافتهاند و این همکاری بین دو گروه به InvisiMole اجازه میدهد تا روشهای خلاقانهای برای فعالیت مخفیانهی خود ابداع کنند.