InvisiMole volta a atacar os sistemas informáticos com técnicas de ciberespionagem ainda mais avançadas

Em 2018, a ESET descobriu um spyware que transformava os computadores das vítimas em autênticas câmaras de vigilância. Os espiões informáticos por trás do software malicioso, conhecidos como InvisiMole group, tinham vindo a “aperfeiçoar” os meus métodos de ataque desde 2013. Agora, uma recente investigação da empresa de cibersegurança revela que os atacantes conseguiram lançar uma nova campanha ainda mais sofisticada que esteve ativa desde finais de 2019 até hoje.

No ESET Virtual World 2020, Zuzana Hromcová, investigadora de malware da empresa, explicou que os atacantes tinham na “mira” organizações militares e missões diplomáticas europeias. Os especialistas já estavam familiarizados com as backdoors usadas para aceder aos sistemas, mas não tinham certezas quanto ao modo de como os cibercriminosos disseminavam e instalavam o malware nos equipamentos.

Ao colaborar com as entidades visadas, os investigadores conseguiram encontrar as peças que faltavam para compor todo o puzzle. Porém, o caminho para lá chegarem não foi fácil e Zuzana Hromcová contou que foi necessário analisar um conjunto de cadeias complexas para encontrar o ponto de origem da campanha de ciberespionagem.

Os componentes do malware estavam protegidos por um tipo de encriptação especial que garantia que os seus efeitos destrutivos só poderiam ser decifrados nos computadores das vítimas. Para a investigadora da ESET, a manobra dos ciberespiões dificultou a vida aos especialistas, fazendo com que o trabalho entrasse num ritmo de “um passo em frente, dois passos para trás”.

Ao todo, a nova versão do InvisiMole usa quatro cadeias diferentes, todas com o objetivo de aceder silenciosamente a informações sensíveis, criadas através da combinação de shellcode malicioso com ferramentas legítimas, bugs em ficheiros executáveis e ainda com vulnerabilidades como a BlueKeep.

Como é que o InvisiMole invade uma rede?  

Quando o descobriram em 2018, os especialistas da ESET não tinham a certeza de como é que o spyware se conseguia infiltrar numa rede de sistemas informáticos. No entanto, havia uma pista: os atacantes conseguiam obter privilégios administrativos antes de o InvisiMole ser instalado.

A resposta estava na cooperação com o Gamaredon, um grupo de cibercriminosos russos que voltou a atacar “em força” recentemente, aproveitando-se dos receios dos utilizadores em relação à pandemia de COVID-19.

A infraestrutura usada pelo Gamaredon permitia aos atacantes perceber quais eram os computadores mais “valiosos” numa rede, obtendo privilégios administrativos e abrindo depois a porta ao InvisiMole group. De acordo com Zuzana Hromcová, a investigação permitiu descobrir que os grupos já trabalhavam em conjunto há pelo menos 7 anos.

Numa altura em que os ciberespiões conseguem “aperfeiçoar” os seus ataques de forma cada vez mais rápida, a especialista da ESET indicou que as empresas precisam de se manter atentas e não descurar a questão da segurança informática.

Operação In(ter)ception: Como uma mensagem no LinkedIn consegue esconder uma rede de ciberespiões

Ver artigo

Além de uma abordagem sistemática, com estratégias de prevenção de infeções e coordenação entre os diferentes departamentos, as organizações devem também estar preparadas para mitigar os efeitos de um ciberataque.

A investigadora sublinhou ainda que “uma rede é tão segura quanto o seu elo mais fraco”, que, na grande maioria dos casos, costuma ser o lado humano da equação. Assim, em linha com as recomendações de Jean-Ian Boutin, Head of Threat Research na ESET Canadá, Zuzana Hromcová aconselhou as empresas a investirem na formação de todos os colaboradores tendo em vista a consciencialização das equipas para as ameaças e esquemas fraudulentos mais comuns.