ESET Research ha descobert un nou grup de ciberespionatge, que opera a Bielorússia i està alineat amb els interessos del Govern local, denominat MoustachedBouncer. Actiu des d’almenys 2014, el grup només té com a objectiu les ambaixades estrangeres del país, incloses les europees. Des de 2020, el més probable és que MoustachedBouncer hagi estat capaç de realitzar atacs adversary-in-the-middle (AitM) a nivell d’ISP dins de Bielorússia. El grup utilitza dos conjunts d’eines independents que ESET ha denominat NightClub i Disc. La recerca va ser presentada en exclusiva durant la conferència Black Hat USA 2023, aquest passat estiu, per l’investigador d’ESET Matthieu Faou.
Segons la telemetria d’ESET, el grup té com a objectiu ambaixades estrangeres a Bielorússia, entre les quals ESET ha identificat dos atacs a Europa, un al sud d’Àsia i un altre a Àfrica. ESET avalua que és molt probable que MoustachedBouncer estigui alineat amb els interessos de Bielorússia i s’especialitzi en l’espionatge. MoustachedBouncer utilitza tècniques avançades per a les comunicacions de Comandament i Control (C&C), incloent-hi la intercepció de xarxes a nivell d’ISP per a l’implant Disc, correus electrònics per a l’implant NightClub, i DNS en un dels connectors NightClub.
Si bé ESET Research rastreja a MoustachedBouncer com un grup separat, els investigadors d’ESET han trobat evidències que poden suggerir que està col·laborant amb un altre grup d’espionatge actiu, Winter Vivern, que ha atacat a personal dels governs de diversos països europeus, inclosos Polònia i Ucraïna, l’any 2023.
Per a comprometre als seus objectius, els operadors de MoustachedBouncer manipulen l’accés a Internet de les seves víctimes, probablement a nivell d’ISP, per a fer creure a Windows que està darrere d’un portal captiu. “En els rangs d’IP atacats per MoustachedBouncer, el trànsit de xarxa es redirigeix a una pàgina de Windows Update aparentment legítima, però que en realitat, és falsa”, explica Matthieu Faou, investigador d’ESET que va descobrir el nou grup d’amenaces. “L’escenari d’AitM ens recorda als actors d’amenaces Turla i StrongPity, que han troyanitzat instal·ladors de programari sobre la marxa pel que fa a ISP. Si bé el compromís dels encaminadors per a dur a terme atacs AitM en xarxes d’ambaixades no es pot descartar per complet, la presència de capacitats d’intercepció legal a Bielorússia suggereix que la manipulació del trànsit està ocorrent pel que fa a ISP en lloc dels encaminadors dels objectius”, explica l’investigador d’ESET, Faou.
Des de 2014, les famílies de malware utilitzades per MoustachedBouncer han evolucionat, i un gran canvi va ocórrer l’any 2020, quan el grup va començar a utilitzar atacs adversary-in-the-middle. MoustachedBouncer opera els dos tipus d’ofensives en paral·lel, però en una màquina determinada, només es desplega una amenaça alhora. ESET creu que Disco s’utilitza juntament amb els atacs AitM, mentre que NightClub s’utilitza per a les víctimes on la intercepció del trànsit pel que fa a ISP no és possible a causa d’una mitigació com l’ús d’una VPN xifrada d’extrem a extrem on el trànsit d’Internet s’encamina fora de Bielorússia.
“La principal conclusió és que les organitzacions en països estrangers on no es pot confiar en Internet han d’utilitzar un túnel VPN xifrat d’extrem a extrem a una ubicació de confiança per a tot el seu trànsit d’Internet amb la finalitat d’eludir qualsevol dispositiu d’inspecció de xarxa. També haurien d’utilitzar solucions de seguretat informàtica actualitzades i d’alta qualitat”, aconsella Faou.
L’implant NightClub utilitza serveis gratuïts de correu electrònic, concretament el servei txec de correu web Seznam.cz i el proveïdor rus de correu web Mail.ru, per a filtrar dades. ESET creu que els atacants van crear els seus propis comptes de correu electrònic, en lloc de comprometre les legítimes. El grup d’amenaces se centra a robar arxius i monitorar unitats de disc, incloses les externes. Les capacitats de NightClub també inclouen l’enregistrament d’àudio, fer captures de pantalla i el registre de pulsacions de tecles.
Per a obtenir més informació tècnica sobre MoustachedBouncer, es pot consultar l’entrada del blog “MoustachedBouncer: Espionatge contra diplomàtics estrangers a Bielorússia” a WeLiveSecurity.
Per Tecnonews