Útočníci z MoustachedBouncer špehovali európske ambasády v Bielorusku

Peter Vnuk - 11. augusta 2023
Útočníci z MoustachedBouncer špehovali európske ambasády v Bielorusku

Výskumníci spoločnosti ESET odhalili novú kybernetickú špionážnu skupinu MoustachedBouncer. Jej názov je odvodený od jej pôsobenia v Bielorusku

Podľa všetkého táto skupina koná v súlade so záujmami tamojšej vlády. Skupina je aktívna minimálne od roku 2014 a zameriava sa výlučne na zahraničné veľvyslanectvá v Bielorusku, vrátane tých európskych. Od roku 2020 je skupina MoustachedBouncer s najväčšou pravdepodobnosťou schopná vykonávať útoky typu adversary-in-the-middle (AitM) na úrovni poskytovateľov internetových služieb v rámci Bieloruska s cieľom kompromitovať svoje ciele.

Skupina používa dve samostatné sady nástrojov, ktoré ESET pomenoval NightClub a Disco. Výskum exkluzívne odprezentoval počas konferencie Black Hat USA 2023 výskumník spoločnosti ESET Matthieu Faou.

Podľa telemetrie spoločnosti ESET sa skupina zameriava na zahraničné veľvyslanectvá v Bielorusku. ESET identifikoval štyri krajiny, ktorých zamestnanci veľvyslanectiev boli terčom útoku: dve z Európy, jedna z južnej Ázie a jedna z Afriky. Všetko nasvedčuje tomu, že skupina MoustachedBouncer koná v súlade so záujmami Bieloruska a špecializuje sa na špionáž, konkrétne na zahraničné veľvyslanectvá v Bielorusku. MoustachedBouncer využíva pokročilé techniky pre komunikáciu s riadiacim serverom, vrátane zachytávania siete na úrovni poskytovateľov internetových služieb v prípade malvéru Disco, e-mailov v prípade malvéru NightClub a DNS v jednom z pluginov NightClub.

Hoci výskumníci spoločnosti ESET analyzujú MoustachedBouncer ako samostatnú skupinu, identifikovali určité prvky, na základe ktorých ESET s nižšou mierou istoty usudzuje, že MoustachedBouncer spolupracuje s ďalšou aktívnou špionážnou skupinou Winter Vivern, ktorá sa v roku 2023 zamerala na vládnych zamestnancov viacerých európskych krajín vrátane Poľska a Ukrajiny.

Prečítaj si tiež: TEST: Lenovo ThinkBook Plus G3 má originálny tvar a dva displeje

Na kompromitovanie svojich cieľov útočníci z MoustachedBouncer manipulujú s internetovým prístupom svojich obetí, pravdepodobne na úrovni poskytovateľa internetových služieb, aby oklamali systém Windows, že sa nachádza za portálom na prihlásenie do siete. „V prípade IP rozsahov, na ktoré sa MoustachedBouncer zameriava, je sieťová prevádzka presmerovaná na zdanlivo legitímnu, ale falošnú stránku Windows Update,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý objavil túto skupinu.

Útočníci špehovali európske ambasády v Bielorusku

„Túto techniku adversary-in-the-middle útočníci využívajú len proti niekoľkým vybraným organizáciám, pravdepodobne len ambasádam, nie v celej krajine. Tento postup nám pripomína skupiny Turla a StrongPity, ktoré za behu kompromitovali inštalačné súbory na úrovni poskytovateľov internetových služieb.“

„Hoci nemožno úplne vylúčiť ani kompromitáciu routerov s cieľom uskutočniť AitM útoky na siete veľvyslanectiev, možnosť legálneho odpočúvania v Bielorusku naznačuje, že k manipulácii prevádzky dochádza skôr na úrovni poskytovateľov internetových služieb než na routeroch obetí,“ vysvetľuje výskumník spoločnosti ESET.

Od roku 2014 sa rodiny škodlivého softvéru používané skupinou MoustachedBouncer vyvinuli. Veľká zmena nastala v roku 2020, keď skupina začala používať útoky typu adversary-in-the-middle. MoustachedBouncer prevádzkuje dve rodiny malvérov paralelne, ale na danom počítači je v danom čase nasadená len jedna.

Bude ťa zaujímať: TEST: Xiaomi 13 Lite. Vynikajúce foťáky, ľahké telo a dobrá cena

ESET sa domnieva, že Disco používajú útočníci v spojení s AitM útokmi, zatiaľ čo NightClub v prípade obetí, kde zachytávanie prevádzky na úrovni poskytovateľa internetu nie je možné z dôvodu bezpečnostných opatrení, ako je napríklad používanie end-to-end šifrovanej VPN, kde je internetová prevádzka smerovaná mimo Bieloruska.

„Hlavným odporúčaním je, aby organizácie v cudzích krajinách, kde sa nedá dôverovať internetovému prostrediu, mali pre všetku internetovú prevádzku používať end-to-end šifrovaný VPN tunel smerujúci na dôveryhodné miesto. Takto dokážu obísť zariadenia na kontrolu siete. Mali by tiež používať kvalitný a aktualizovaný bezpečnostný softvér,“ radí Faou.

Malvér NightClub využíva na exfiltráciu údajov bezplatné e-mailové služby, konkrétne českú webmailovú službu Seznam.cz a ruského poskytovateľa webmailu Mail.ru. ESET sa domnieva, že útočníci si namiesto kompromitácie legitímnych e-mailových účtov vytvorili vlastné.

Hackerská skupina sa zameriava na krádež súborov a monitorovanie diskov, vrátane tých externých. Medzi schopnosti NightClubu patrí aj nahrávanie zvuku, snímanie obrazovky a zaznamenávanie stlačení na klávesnici.

Zdroj: TS

Ak ťa bavíme, klikni na tlačidlo a kúp nám pivo za 2€:

Staň sa súčasťou aktívnej komunity TechGuru SK/CZ na Facebooku a na Instagrame.

Nájdeš nás aj na YouTube

O autorovi

Peter Vnuk
Peter Vnuk
Je celoživotným fanúšikom technológií a pracuje pre niekoľko popredných slovenských médií z tejto oblasti. Okrem produktových recenzií, spravodajstva zo sveta vedy a techniky, sa venuje tiež tematickým článkom na hi-tech témy, ako je umelá inteligencia, robotika, virtuálna realita a pod. Je mu blízka tiež herná sféra, preto recenzuje aj herné príslušenstvo a hry.
Bielorusko eset hackeri hekeri kyberbezpečnosť kybernetická bezpečnosť kyberzločin MoustachedBouncer útočníci WeLiveSecurity Winter Vivern

Pridaj komentár