Les incroyables techniques de dissimulation des pirates d’InvisiMole
Techniques dissimulation Hackers
Installation de logiciels et de drivers vulnérables, chiffrement local, tunneling DNS, chevaux de Troie… Ces cyberespions, qui sont probablement d’origine russe, jouent sur tous les tableaux pour rester sous le radar.
Une nouvelle campagne de cyberespionnage, probablement d’origine russe, cible actuellement les organisations diplomatiques et militaires en Europe de l’Est. Les chercheurs en sécurité d’Eset ont pu mener des enquêtes sur site et révéler un mode opératoire particulièrement sophistiqué, qui prend appui sur les backdoors du groupe InvisiMole, à savoir RC2CL et RC2FM. Ces malwares ont été découverts par Eset en 2018, avec de premières instances qui remontent à 2013. Elles disposent de nombreuses fonctionnalités : vol de documents, enregistrement audio et vidéo, géolocalisation, etc.
Les techniques utilisées par Gamaredon sont assez classiques : des e-mails avec des pièces jointes vérolées sont envoyés aux victimes. Si le document est ouvert, un script VBS va télécharger un premier malware. C’est ensuite que les choses vont devenir plus complexes. Les chercheurs ont identifié quatre chemins d’installation différents, souvent assez longs.
Ads by Teads Techniques dissimulation Hackers
Eset – Les chemins d’installation d’InvisiMole
Au cours de ces différentes étapes, les pirates vont installer des logiciels ou des drivers légitimes, mais vulnérables, qu’ils vont utiliser comme vecteur de piratage pour une prochaine étape. Dans les dernières étapes, les codes malveillants sont chiffrés au travers de l’interface de programmation Data Protection API de Windows. Celle-ci est généralement utilisée pour protéger localement des mots de passe ou des cookies. L’avantage pour les pirates, c’est que le chiffrement et le déchiffrement ne peuvent s’effectuer que sur la machine en question. Ce qui réduit considérablement la capacité d’analyse des éventuels dispositifs de sécurité.
Brouiller les pistes au maximum
Pour infecter les machines de proche en proche, les hackers d’InvisiMole utilisent deux techniques. La première est le piratage par le réseau qui s’appuie sur des failles connues (EternalBlue dans le protocole SMB, BlueKeep dans le protocole RDP). La seconde s’appuie sur des chevaux de Troie, en occurrence des archives ou des documents PDF vérolés. Enfin, les pirates utilisent une technologie de tunneling par DNS pour transmettre les messages depuis leurs serveurs de commande et contrôle.