Hakerzy na Białorusi szpiegowali zagranicznych dyplomatów, podał ESET

Badacze ESET zidentyfikowali cyberprzestępczą grupę MoustachedBouncer, działającą najprawdopodobniej zgodnie z interesami białoruskiego rządu. Wykorzystuje ona zaawansowane technologie do szpiegowania pracowników zagranicznych ambasad na Białorusi. Może być też powiązana z inną grupą, która za cel obrała m.in. polskich dyplomatów.

Hacker Noon / Unsplash

ESET wykrył nową grupę cyberszpiegowską, MoustachedBouncer, działającą na Białorusi, prawdopodobnie w sposób zgodny z interesami białoruskiego rządu. Grupa jest aktywna co najmniej od 2014 roku bierze na cel jedynie funkcjonujące w tym kraju zagraniczne ambasady, w tym przedstawicielstwa krajów europejskich. Od 2020 roku MoustachedBouncer najprawdopodobniej przeprowadza na terenie Białorusi ataki typu adversary-in-the-middle (AitM). To typ ataku MITM („człowiek pośrodku”), polegający na umieszczeniu serwera pomiędzy ofiarą, a stroną internetową i przechwytywaniu w ten sposób danych lub instalowaniu oprogramowania szpiegującego. Grupa wykorzystuje w tym celu infrastrukturę dostawcy usług internetowych i używa dwóch oddzielnych zestawów zaawansowanych narzędzi z zakresu złośliwego oprogramowania, które ESET nazwał NightClub i Disco. Badanie demaskujące działanie MoustachedBouncer zostało zaprezentowane podczas konferencji Black Hat USA 2023 10 sierpnia 2023 r. przez badacza firmy ESET, Matthieu Faou.

Według danych telemetrycznych ESET, grupa atakuje zagraniczne ambasady na Białorusi, a celem ataków stał się do tej pory personel placówek dyplomatycznych czterech krajów: dwóch z Europy, jednego z Azji Południowej i jednego z Afryki. ESET ocenia, że działania MoustachedBouncer są najprawdopodobniej zgodne z interesami Białorusi, a grupa specjalizuje się w szpiegostwie. Cyberprzestępcy wykorzystują zaawansowane techniki do tzw. komunikacji C&C (ang. Command and Control, pol. Dowodzenia i Kontroli), w tym przechwytywanie ruchu sieciowego na poziomie dostawcy usług internetowych, wiadomości e-mail i protokół DNS.

Zobacz również:

  • Wielka dziura w odporności
  • Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia

Choć badanie identyfikuje MoustachedBouncer jako oddzielną grupę, znaleziono także elementy, które mogą świadczyć o tym, że współpracuje ona z inną aktywną grupą szpiegowską, Winter Vivern, która atakowała w 2023 roku pracowników rządowych kilku krajów europejskich, w tym Polski i Ukrainy. Badacze ESET podkreślają jednak, że dowody na to powiązanie nie są pewne. „Przeprowadzając ataki, członkowie grupy MoustachedBouncer manipulują dostępem swoich ofiar do internetu, prawdopodobnie na poziomie dostawcy usług internetowych, aby system Windows uwierzył, że stoi za tzw. portalem przechwytującym (ang. captive portal). W przypadku zakresów adresów IP, atakowanych przez MoustachedBouncer, ruch sieciowy jest przekierowywany na pozornie legalną, ale fałszywą stronę Windows Update. Ta technika nie jest wykorzystywana powszechnie przez grupę, służy do atakowania tylko kilku wybranych organizacji, być może tylko ambasad. Scenariusz przypomina nam działania cyberprzestępców z grup Turla i StrongPity, którzy infekowali instalatory na poziomie ruchu sieciowego dostawców usług internetowych. Chociaż nie można w pełni odrzucić koncepcji, że do działań MoustachedBouncer dochodzi za pośrednictwem zhakowanych routerów, istnienie legalnych możliwości przechwytywania ruchu na Białorusi pozwala przypuszczać, że manipulowanie ruchem odbywa się na poziomie dostawcy usług internetowych, a nie na docelowych routerach”, mówi Matthieu Faou, badacz ESET, który dokonał odkrycia.

Od 2014 roku szkodliwe oprogramowanie wykorzystywane przez MoustachedBouncer ewoluowało, a duża zmiana nastąpiła w 2020 roku, kiedy grupa zaczęła wykorzystywać ataki typu adversary-in-the-middle. MoustachedBouncer korzysta równolegle z dwóch zespołów narzędzi, ale na danej maszynie wdrażany jest tylko jeden z nich. ESET uważa, że Disco jest używane w połączeniu z atakami AitM, podczas gdy NightClub jest używany wobec ofiar, w przypadku których przechwycenie ruchu na poziomie dostawcy usług internetowych nie jest możliwe ze względu na środki zaradcze, takie jak użycie szyfrowanej sieci VPN typu end-to-end, w której ruch internetowy jest kierowany poza Białoruś.

Implant NightClub wykorzystuje bezpłatne usługi poczty elektronicznej: czeską usługę Seznam.cz i rosyjskiego dostawcę poczty internetowej Mail.ru, w celu eksfiltracji danych. Prawdopodobnie osoby atakujące utworzyły w tym celu własne konta e-mail, zamiast korzystać z przejętych kont osób trzecich.

Grupa koncentruje się na kradzieży plików i monitorowaniu dysków, w tym zewnętrznych. Możliwości NightClub obejmują również nagrywanie dźwięku, robienie zrzutów ekranu i rejestrowanie naciśnięć klawiszy. „Głównym wnioskiem jest to, że organizacje w krajach, w których dostęp do internetu nie jest wystarczająco godny zaufania, powinny używać szyfrowanego połączenia VPN typu end-to-end do zaufanej lokalizacji dla całego ruchu internetowego, w celu obejścia wszelkich urządzeń mogących służyć do kontroli i modyfikacji ruchu sieciowego. Powinny również korzystać z najwyższej jakości, zaktualizowanego oprogramowania zabezpieczającego”, radzi Matthieu Faou.

Źródło: ESET

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200