מחקר חדש: קבוצת תקיפה מתמחה בריגול אחר שגרירויות

למאמר הבא
ESET

מחקר חדש חושף קבוצת ריגול סייבר חדשה, המכונה MoustachedBouncer. הקבוצה זכתה לשם בעקבות הנוכחות שלה בבלארוס, והיא מתואמת עם האינטרסים של הממשלה המקומית. הקבוצה, שפעילה החל מ-2014 לפחות, מכוונת את מתקפותיה אך ורק לשגרירויות זרות, ביניהן שגרירויות אירופאיות, בבלארוס. ככל הנראה, החל מ-2020 השיגה את היכולת לביצוע מתקפות ״גורם זדוני בתווך״ (AitM) ברמת ספק שירותי האינטרנט, בתוך בלארוס, כדי לפגוע במטרותיה. הקבוצה משתמשת בשני מערכי כלים נפרדים, אותם ESET מכנה בשמות NightClub ו-Disco. המחקר הוצג בכנס Black Hat USA ב-10 באוגוסט, 2023, ע״י מתיו פאו, אחד מחוקרי ESET.

על פי נתוני הטלמטריה של ESET, הקבוצה מכוונת את מתקפותיה לשגרירויות זרות בבלארוס, ו-ESET זיהתה ארבע מדינות שצוות השגרירות שלהן הותקף – שתיים מאירופה, אחת מדרום אסיה ואחת מאפריקה. ESET מעריכה בסבירות גבוהה שקבוצת MoustachedBouncer מתואמת עם האינטרסים הבלארוסיים ומתמחה בריגול, בייחוד מול שגרירויות זרות בבלארוס.

קבוצת MoustachedBouncer משתמשת בטכניקות מתקדמות לתקשורת שליטה ובקרה (C&C), ביניהן יירוט רשת ברמת ספק שירותי האינטרנט (כחלק ממסגרת העבודה באמצעות Disco), תקשורת דוא״ל (כחלק ממסגרת העבודה באמצעות NightClub) ו-DNS (כחלק מאחד התוספים למסגרת העבודה באמצעות NightClub).

בזמן שגוף המחקר של ESET עקב אחרי קבוצת MoustachedBouncer כקבוצה נפרדת, מצאנו ממצאים שגורמים להעריך בסבירות נמוכה שהקבוצה משתפת פעולה עם קבוצת ריגול פעילה אחרת, Winter Vivern, אשר כיוונה את מתקפותיה לצוותים ממשלתיים של מספר מדינות אירופאיות, ביניהן פולין ואוקראינה, במהלך שנת 2023.

כדי לפגוע במטרותיהם, המפעילים של MoustachedBouncer מתערבים בגישה לאינטרנט של קורבנותיהם, ככל הנראה ברמת ספק שירותי האינטרנט, כדי לגרום למערכת ההפעלה Windows להאמין שהיא נמצאת מאחורי פורטל גישה (Captive Portal). עבור טווחי כתובות ה-אייפי שסומנו כמטרה ע״י MoustachedBouncer, תעבורת הרשת מופנית לדף Windows Update מזויף שנראה לגיטימי״, מציין פאו, החוקר שחשף את קבוצת התקיפה החדשה. ״טכניקת ה״גורם זדוני בתווך״ הזו מופעלת רק מול ארגונים נבחרים, ככל הנראה שגרירויות בלבד, אך לא בכל רחבי המדינה. תרחיש ה-AitM מזכיר לנו את קבוצות התקיפה Turla ו-StrongPity, ששתלו סוסים טרויאנים בתוכנות התקנה ברמת ספק שירותי האינטרנט״.

״אמנם אי אפשר לשלול לחלוטין את האפשרות לפיה נתבי רשת הם אלו שנפרצו כדי לאפשר את מתקפות ה-AitM על רשתות השגרירויות, נוכחות של יכולות יירוט על פי חוק בבלארוס עשויה להצביע על כך שההתערבות בתעבורה מתרחשת ברמת ספק שירותי האינטרנט ולא בנתבי הרשת של המטרות״, מסביר החוקר.

החל ב-2014, משפחות הנוזקות בהן השתמשה קבוצת MoustachedBouncer התפתחו, ושינוי גדול התרחש ב-2020, שבה הקבוצה החלה להשתמש במתקפות ״גורם זדוני בתווך״. קבוצת MoustachedBouncer מפעילה את שתי משפחות הנוזקות במקביל, אך מפעילה רק אחת מהן על כל מכשיר נתון. ב-ESET מאמינים שמשפחת Disco מופעלת יחד עם מתקפות AitM, בעוד שמשפחת NightClub משמשת לתקיפת קורבנות עבורם אין אפשרות ליירוט תעבורה ברמת ספק שירותי האינטרנט בגלל כלי אבטחה כמו שימוש ברשתות VPN מוצפנות מקצה לקצה, שבהן תעבורת האינטרנט מנותבת מחוץ לבלארוס.

״המסקנה העיקרית הנובעת מהמחקר היא שארגונים הפועלים במדינות זרות, בהן אי אפשר לבטוח על תעבורת האינטרנט, נדרשים לגלוש באמצעות VPN ובצורה זו, התקשורת מוצפנת מקצה לקצה ומכוונת למיקום אמין את כל תעבורת האינטרנט שלהם, כדי להימנע ממכשירים ומחשבים הבוחנים את תעבורת האינטרנט. בנוסף, עליהם להשתמש בתוכנות אבטחה מעודכנות ברמה הגבוהה ביותר״, מייעץ פאו.

משפחת NightClub משתמשת בשירותי דוא״ל חינמיים, ביניהם שירות Seznam.cz הצ׳כי ו-mail.ru הרוסי, כדי להדליף נתונים. ב-ESET מאמינים שהתוקפים יצרו חשבונות דוא״ל משל עצמם, ולא פרצו חשבונות לגיטימיים קיימים. קבוצת התקיפה מתמקדת בגניבת קבצים ובניטור כוננים, כולל כוננים חיצוניים. היכולות של NightClub כוללות גם הקלטת שמע, צילום תמונות מסך והקלטה של הקשות מקלדת.

פריצה של קבוצת MoustachedBouncer בתרחיש AitM