ESET odhalil novou kyberšpionážní skupinu MoustachedBouncer působící v Bělorusku, pravděpodobně v souladu se zájmy běloruské vlády. Skupina působí minimálně od roku 2014. Cílí pouze na zahraniční ambasády působící v této zemi, včetně zastoupení evropských zemí. Od roku 2020 MoustachedBouncer s největší pravděpodobností vede útoky protivníka uprostřed (AitM) v Bělorusku. Jedná se o typ útoku MITM („man in the middle“), který umístí server mezi oběť a webovou stránku, a tím zachytí data nebo nainstaluje spyware. Skupina k tomuto účelu využívá ISP infrastrukturu a používá dvě odlišné sady pokročilých škodlivých nástrojů, které ESET nazval NightClub a Disco. Studii odhalující MoustachedBouncer představil na konferenci Black Hat USA 2023 10. srpna 2023 výzkumník ESET Matthieu Faou.

Podle telemetrických dat společnosti ESET cílí skupina na zahraniční ambasády v Bělorusku a terčem útoků byli zatím pracovníci diplomatických misí čtyř zemí: dvou z Evropy, jedné z jižní Asie a jedné z Afriky. ESET se domnívá, že aktivity MoustachedBouncer jsou s největší pravděpodobností v souladu s běloruskými zájmy a skupina se specializuje na špionáž. Kyberzločinci používají pokročilé techniky pro komunikaci C&C (Command and Control), včetně odposlechu síťového provozu na úrovni ISP, e-mailových zpráv a protokolu DNS.

Zkontrolujte také:

Přestože výzkum identifikuje MoustachedBouncer jako samostatnou skupinu, byly nalezeny také prvky, které mohou naznačovat, že spolupracuje s další aktivní špionážní skupinou Winter Viven, která se v roce 2023 zaměřila na vládní zaměstnance z několika evropských zemí včetně Polska a Ukrajiny. ESET však výzkumníci poukazují na to, že důkazy pro toto spojení jsou nejisté. „Při provádění útoků členové skupiny MoustachedBouncer manipulují s přístupem svých obětí k internetu, možná na úrovni ISP, aby přiměli Windows, aby uvěřili, že stojí za takzvaným captive portálem. V případě cílených rozsahů IP adres od MoustachedBouncer je síťový provoz přesměrován na zdánlivě legitimní, ale falešný web Windows Update. Tato technika není skupinou široce používána, používá se pouze k útokům na několik vybraných organizací, možná pouze na ambasády. Děj připomíná akce kyberzločinci ze skupin Turla a StrongPity, kteří infikovali instalátory v síťovém provozu ISP. I když nelze zcela vyloučit myšlenku, že aktivity MoustachedBouncer se odehrávají prostřednictvím hacknutých směrovačů, existence legitimních schopností zachycování provozu v Bělorusku naznačuje, že k manipulaci s provozem dochází na adrese na úrovni ISP a ne na úrovni cílového routeru,“ říká Matthieu Faou, výzkumník společnosti ESET, který učinil objev.

Od roku 2014 se malware používaný MoustachedBouncerem vyvíjel a velká změna přišla v roce 2020, kdy skupina začala používat útoky středního protivníka. MoustachedBouncer používá dvě sady nástrojů paralelně, ale pouze jedna z nich je nasazena na daném stroji. ESET považuje Disco za použití ve spojení s útoky AitM, zatímco NightClub se používá pro oběti, kde není možné zachytit provoz na úrovni ISP kvůli protiopatřením, jako je použití end-to-end šifrované VPN, ve které je provoz internetu je vyveden z Běloruska.

Implant NightClub využívá k exfiltraci dat bezplatné e-mailové služby: českou službu Seznam.cz a ruského poskytovatele e-mailu Mail.ru. Je pravděpodobné, že útočníci si pro tento účel vytvořili vlastní e-mailové účty, spíše než aby používali kompromitované účty třetích stran.

Skupina se zaměřuje na krádeže souborů a sledování disků, včetně externích disků. Mezi možnosti NightClubu patří také nahrávání zvuku, pořizování snímků obrazovky a keylogging. „Hlavním přínosem je, že organizace sídlící v zemích, kde přístup k internetu není dostatečně spolehlivý, by měly používat end-to-end šifrované připojení VPN k důvěryhodnému místu pro veškerý internetový provoz, aby se obešly všechna zařízení, která mohou být použita k ovládání a úpravě sítě. Musí také používat kvalitní a aktuální bezpečnostní software,“ radí Matthieu Faou.

Zdroj: ESET