ESET kiberdrošības pētnieki atklājuši jaunu kiberspiegošanas grupu “MoustachedBouncer”, kura, visticamāk, darbojas Baltkrievijas valdības interesēs. Ir zināms, ka grupa darbojas vismaz kopš 2014. gada ar mērķi uzbrukt ārvalstu, tai skaitā Eiropas, valstu vēstniecībām Baltkrievijā. Visticamāk, kopš 2020. gada MoustachedBouncer ir bijis spējīgs nodrošināt tā dēvētos “pretinieks pa vidu” (ang. adversary-in-the-middle, turpmāk AiTM) uzbrukumus Baltkrievijā interneta pakalpojumu sniedzēja (turpmāk ISP) līmenī, sekmīgi apdraudot izvēlētos upurus. Grupa izmanto divus atsevišķus rīkus, kurus ESET nosaucis par NightClub un Disco. Pētījumu ekskluzīvi prezentēja ESET pētnieks Metjū Faou 10.augustā, ASV, Black Hat USA konferences laikā.
Saskaņā ar ESET telemetriju, grupas uzbrukumi ir mērķēti uz ārvalstu vēstniecībām. ESET ir identificējis, ka divi Eiropas, viens Dienvidāzijas un vēl viens Āfrikas vēstniecības personāla darbinieks ir pieredzējis apdraudējumu. ESET paredz iespējamību, ka MoustachedBouncer darbojas saskaņā ar Baltkrievijas interesēm un specializējas spiegošanā, konkrēti pret ārvalstu vēstniecībām Baltkrievijā. MoustachedBouncer izmanto progresīvas komandas un kontroles (turpmāk C&C) komunikācijas metodes, tostarp tīkla pārtveršanu ISP līmenī Disco implantam, e-pasta ziņojumus NightClub implantam un DNS vienā no NightClub spraudņiem.
Kamēr ESET Pētniecība izseko MoustachedBouncer kā atsevišķu hakeru grupējumu, ir atklāti elementi, kas liek domāt, ka tā sadarbojas ar citu aktīvu spiegošanas grupu Winter Vivern, kura 2023. gadā ir vērsusies pret valdības darbiniekiem vairākās Eiropas valstīs, tostarp Polijā un Ukrainā.
“Lai uzbruktu upuriem, MoustachedBouncer operatīvi manipulē ar izvēlēto lietotāju piekļuvi internetam, iespējams, ISP līmenī, liekot Windows uzskatīt, ka tas ir aiz ierobežota portāla. IP diapazonā, kam uzbrucis MoustachedBouncer, tīmekļa plūsma tiek novirzīta uz šķietami leģitīmu, taču patiesībā viltotu Windows atjaunināšanas lapu,” skaidro ESET pētnieks un jaunās draudu grupas atklājējs Metjū Fao. “AiTM tehnika tiek pielietota vien pret dažām konkrētām organizācijām - vēstniecībām. AiTM scenārijs atgādina mums par Turla un StrongPity ļaundariem, kuri veikli trojanizēja programmatūras instalētājus ISP līmenī.”
“Lai arī versija par maršrutētāju kompromitēšanu AiTM uzbrukumu veikšanai vēstniecībās nav pilnībā izslēdzama, likumīgu pārtveršanas iespēju esamība Baltkrievijā liek domāt, ka tīmekļa plūsmas graušana noris tieši ISP līmenī, nevis caur upuru maršrutētājiem,” skaidro ESET pētnieks.
Kopš 2014. gada, MoustachedBouncer izmantotās ļaunprogrammatūras saimes ir attīstījušās, un lielas pārmaiņas notika 2020. gadā, kad grupa sāka izmantot AiTM uzbrukumus. MoustachedBouncer paralēli darbina divas implanta saimes, taču konkrētajā iekārtā vienlaikus tiek izvietota tikai viena. ESET uzskata, ka Disco tiek izmantots kopā ar AiTM uzbrukumiem, savukārt NightClub tiek piemērots lietotājiem, kuriem datu plūsmas pārtveršana ISP līmenī nav iespējama, jo tiek izmantots mazinājums, piemēram, izmantots pilnīgi šifrēts VPN, kur interneta plūsma tiek maršrutēta ārpus Baltkrievijas.
“Galvenā atziņa ir tāda, ka, lai apietu visas tīkla pārbaudes ierīces, ārvalstu organizācijām ar nedrošu interneta plūsmu būtu jāizmanto pilnīgi šifrēts VPN tunelis uz uzticamu lokāciju. Tām vajadzētu izmantot arī augstākās kvalitātes, atjauninātu datora drošības programmatūru,” iesaka Faou.
NightClub implants datu filtrēšanai izmanto bezmaksas e-pasta pakalpojumus, proti, Čehijas tīmekļa pasta pakalpojumu Seznam.cz un Krievijas Mail.ru tīmekļa pasta pakalpojumu sniedzēju. ESET uzskata, ka uzbrucēji ir izveidojuši savus e-pasta kontus, nevis apdraudējuši likumīgos kontus.
Draudu grupa koncentrējas uz failu zagšanu un disku, tostarp ārējo, monitorēšanu. NightClub iespējas ietver arī audio ierakstīšanu, ekrānuzņēmumu uzņemšanu un taustiņu nospiešanu reģistrēšanu.
Lai iegūtu papildinformāciju par MoustachedBouncer, skatiet emuāra ierakstu “MoustachedBouncer: Espionage against foreign diplomats in Belarus” vietnē WeLiveSecurity. Noteikti sekojiet ESET Research Twitter (X), lai uzzinātu jaunākās ziņas no ESET Research.
MoustachedBouncer apdraudējums izmantojot “pretinieks pa vidu” scenāriju