"Los ciberdelincuentes pueden incluso controlar las pulsaciones de tu teclado"

¿Cómo han logrado desde ESET vigilar los movimientos de un grupo tan organizado como es InvisiMole?

Hemos estado siguiendo las actividades de este grupo a través de nuestra telemetría durante años para poder controlar sus desarrollos, pero esta investigación fue especial porque colaboramos directamente con las organizaciones afectadas y cooperamos para reconstruir y poner remedio a estos ataques. Esto nos dio la oportunidad de monitorizar las actividades de esta amenaza de forma más precisa.

¿Cuáles son las herramientas que utilizan estos ciberdelincuentes para atacar a sus objetivos?

InvisiMole utiliza dos ‘backdoors’(virus troyanos de ‘puerta trasera’)  con capacidades de espionaje muy intensas y con una variedad de componentes que instalan, ejecutan y esconden la existencia de estos ‘backdoors’. Además, el grupo hace uso de herramientas y programas legítimos, incluyendo un ‘driver’ (controlador de dispositivo) y una librería vulnerables de Windows. Los atacantes instalan estas herramientas en el sistema y explotan estas vulnerabilidades para realizar sus tareas sin ser descubiertos ni siquiera por las herramientas de detección, ya que los programas de seguridad no pueden limpiar estos ejecutables vulnerables al ser parte del propio sistema operativo.

Y una vez que están dentro de los sistemas, ¿qué tipo de daños pueden causar en sus víctimas?

Hay que tener en cuenta que el objetivo principal de estos ataques es el espionaje, y las herramientas maliciosas permiten a los delincuentes contar con una serie de capacidades muy intensas. Por ejemplo, InvisiMole puede grabar las actividades de las víctimas utilizando sus webcams y micrófonos o monitorizar sus pantallas y controlar las pulsaciones del teclado.

El motivo principal parece ser la posibilidad de buscar y robar los documentos que les interesan, incluyendo los últimos documentos abiertos, documentos de unidades extraíbles o fotos de teléfonos móviles conectados.

¿Qué diferencia a estos ciberdelincuentes de otros a los que han investigado anteriormente?

Las herramientas que usa este grupo se han diseñado para realizar operaciones de espionaje a largo plazo y dirigidas. Para contextualizar, descubrimos la cooperación entre InvisiMole y otro grupo de amenazas, Gamaredon. En comparación con Gamaredon, InvisiMole cuenta con una madurez técnica y un nivel de sofisticación más alto. La forma en la que opera InvisiMole es escondiendo sus herramientas detrás de otros programas y herramientas legítimas y escondiendo su red de comunicación detrás del tráfico de red con un servidor DNS legítimo utilizado por la víctima.

Como usuarios de a pie, ¿de qué manera podemos sentirnos menos vulnerables antes posibles ataques de este tipo?

En esta campaña, las víctimas se infectaban primero por Gamaredon, que utilizaba e-mails falsos como vector de distribución. El grupo Gamaredon pasaba luego el control de los ordenadores infectados al grupo InvisiMole, que contaba con técnicas más avanzadas y que lideraba las labores de espionaje. Aconsejamos a todos los usuarios que vigilen los correos electrónicos sospechosos, especialmente si llegan desde una fuente desconocida o si tienen un enlace a un archivo que no esperamos.

Esta campaña también se caracteriza por su formato ‘multietapa’, es decir, con varias fases de ataque diseñadas para ocultar la detección por parte de las soluciones de seguridad más sencillas, tal y como he indicado anteriormente. Es muy recomendable contar con una solución de seguridad multicapa y con buena reputación, que sea capaz de bloquear las fases del ataque en diferentes niveles. Los productos que hemos diseñado desde ESET permiten detectar las herramientas maliciosas de InvisiMole como Win32/InvisiMole y Win64/InvisiMole, ya que con el conocimiento que hemos adquirido en esta campaña somos capaces de rastrear la actividad del grupo de forma más precisa.