InvisiMole: Λογισμικό υποκλοπής spyware που τραβάει φωτογραφίες και καταγράφει ήχο.
Οι ερευνητές ασφαλείας της ESET ανακάλυψαν ένα πολύπλοκο spyware που χρησιμοποιήθηκε φειδωλά τα τελευταία πέντε χρόνια για να μολύνει και να κατασκοπεύσει έναν πολύ μικρό αριθμό στόχων στη Ρωσία και την Ουκρανία.
Ενώ η προέλευση αυτού του νέου κακόβουλου λογισμικού, που ονομάζεται InvisiMole, δεν έχει προσδιοριστεί ακόμη από ποιους ελέγχεται, ωστόσο πιστεύεται ότι πρόκειται για ένα προηγμένο εργαλείο κατασκοπείας, το οποίο κατά πάσα πιθανότητα δημιουργήθηκε για δολιοφθορές σε εχθρικές χώρες, όπως και για να αποσπάσουν μεγάλα χρηματικά ποσά.
Η αξιολόγηση αυτή βασίζεται στο γεγονός ότι το κακόβουλο λογισμικό έχει παρατηρηθεί να δραστηριοποιείται ελάχιστες φορές και είναι εγκατεστημένο “μόνο σε λίγες δεκάδες συσκευές και υπολογιστές“, αλλά και λόγω του εύρους φάσματος των δυνατοτήτων του, κάτι που θα χρειαζόταν μήνες, αν όχι χρόνια, να αναπτυχθεί και να τελειοποιηθεί. σίγουρα δεν είναι έργο κάποιου συνηθισμένου εγκληματία στον κυβερνοχώρο.
Το InvisiMole σχεδιάστηκε για προηγμένες υποκλοπές.
Εκτός του ότι είναι malware, πολύ λίγα είναι γνωστά για το ποιος είναι από πίσω, πώς εξαπλώνεται ή σε ποιους τύπους εκστρατείας κυβερνοεπιθέσεων έχει χρησιμοποιηθεί .
«Η ανάλυση των δραστηριοτήτων και των ικανοτήτων του InvisiMole μας δείχνει ότι οι κυβερνοεγκληματίες πίσω από αυτό το κακόβουλο λογισμικό ήταν ενεργοί τουλάχιστον από το 2013 και παρόλα αυτά το εργαλείο ηλεκτρονικής κατασκοπείας δεν αναλύθηκε ούτε ανιχνεύθηκε μέχρι να ανακαλυφθεί από τα προϊόντα της ESET σε κατεστραμμένους υπολογιστές της Ουκρανίας και της Ρωσίας» δήλωσε η ερευνητής της ESET Zuzana Hromcová, η οποία πρόσφατα συνέταξε μια εις βάθος έκθεση σχετικά με αυτή τη νέα απειλή.
Επιπλέον, το συγκεκριμένο κακόβουλο λογισμικό είναι αντικειμενικά ένα πολύ έξυπνο δημιούργημα, καθώς αποτελείται από δύο μέρη, και τα δύο ξεχωριστά έχουν το δικό τους σύνολο χαρακτηριστικών κατασκοπείας, αλλά μπορούν επίσης να βοηθήσουν το ένα το άλλο για την πλήρη ενίσχυση των λειτουργιών.
RC2FM – το λιγότερο ικανό μέρος του InvisiMole.
Η πρώτη από τις κύριες ενότητες του InvisiMole ονομάζεται RC2FM. Είναι το μικρότερο από τα δύο και υποστηρίζει μόνο 15 εντολές, που συνδυάζει διάφορες λειτουργίες για να αλλάξει το τοπικό σύστημα, αλλά και να αναζητήσει ή να κλέψει δεδομένα.
Αυτή η ενότητα δεν είναι τόσο προηγμένη όσο η δεύτερη, αλλά το πιο καινοτόμο χαρακτηριστικό που διαθέτει είναι η δυνατότητα αλλαγής των ρυθμίσεων του διακομιστή μεσολάβησης από τα προγράμματα περιήγησης και η χρήση αυτών των διαμορφώσεων για την αποστολή δεδομένων σε ένα άλλο διακομιστή, σε περίπτωση που οι τοπικές ρυθμίσεις δικτύου εμποδίσουν τη μονάδα να επικοινωνήσει με τον κύριο διακομιστή.
Ορισμένες από τις εντολές αυτής της λειτουργικής ενότητας είναι ότι μπορεί να ενεργοποιήσει το μικρόφωνο του χρήστη, να εγγράψει ήχο, να το κωδικοποιήσει ως MP3 και να την στείλει στο διακομιστή του InvisiMole.
Το RC2FM μπορεί επίσης να ενεργοποιήσει την κάμερα του χρήστη και να τραβήξει στιγμιότυπα οθόνης. Μπορεί επίσης να παρακολουθεί τοπικές μονάδες δίσκου, να ανακτά πληροφορίες από το σύστημα και να τροποποιεί τις ρυθμίσεις του συστήματος.
RC2CL – η κυρία ενότητα με τη μεγαλύτερη ισχύ στο InvisiMole.
Η δεύτερη ενότητα InvisiMole είναι η πιο προηγμένη από τις δύο. Αυτός υποστηρίζει 84 εντολές backdoor και περιλαμβάνει σχεδόν όλες τις δυνατότητες που περιμένετε από ένα προηγμένο spyware.
Αυτό περιλαμβάνει υποστήριξη για εκτέλεση εντολών απομακρυσμένης εργασίας, χειρισμού κλειδιών του μητρώου, εκτέλεσης αρχείων, λήψης λίστας τοπικών εφαρμογών, φόρτωσης προγραμμάτων, λήψης πληροφοριών δικτύου, απενεργοποίησης UAC, απενεργοποίησης του τείχους προστασίας των Windows και πολλά άλλα. Το RC2CL μπορεί επίσης να εγγράψει ήχο μέσω του μικροφώνου και να τραβήξει στιγμιότυπα οθόνης μέσω της κάμερας – όπως η πρώτη μονάδα.
Αλλά Hromcová λέει ότι η ενότητα διαθέτει επίσης κάποια μοναδικά χαρακτηριστικά. Ένα από αυτά είναι η δυνατότητα ασφαλούς διαγραφής των δικών του αρχείων μετά τη διεξαγωγή της συλλογής δεδομένων. Αυτό το βήμα εφαρμόζεται για να αποφευχθεί ο εντοπισμός των ιχνών που αφήνουν κυβερνοεγκληματίες στα αρχεία στο δίσκο και γενικά η ανίχνευση του συνόλου των δραστηριοτήτων του κακόβουλου λογισμικού.
Ένα άλλο μοναδικό χαρακτηριστικό είναι η ικανότητα του RC2CL να μετατραπεί σε διακομιστή μεσολάβησης και να διευκολύνει τις επικοινωνίες μεταξύ της πρώτης μονάδας και του εξυπηρετητή του εισβολέα. Αυτό είναι κάπως μοναδικό, καθώς αυτή η συμπεριφορά δεν έχει παρατηρηθεί σε παρόμοια λογισμικά.
Συνολικά, το InvisiMole χαρακτηρίζεται ως ένα παντοδύναμο εργαλείο, το οποίο είναι σαφώς ένα από τα καλύτερα στο είδος του για την κατασκοπεία στον κυβερνοχώρο, και προφανώς το κάνει ακόμα πουδαιότερο αφού κατάφερε να παραμείνει για αρκετά χρόνια ορατό χωρίς να το εντοπίσει κανείς, πλην της ESET.
