Výskumníci spoločnosti ESET odhalili novú kybernetickú špionážnu skupinu MoustachedBouncer.
- MoustachedBouncer je hackerská skupina, ktorú nedávno odhalili výskumníci spoločnosti ESET a ktorá sa špecializuje na špionáž zahraničných veľvyslanectiev v Bielorusku. Je veľmi pravdepodobné, že slúži záujmom Bieloruska.
- Skupina je aktívna minimálne od roku 2014 a od roku 2020 využíva techniku adversary-in-the-middle (AitM) na presmerovanie z portálu na prihlásenie do siete na riadiaci server a doručovanie špionážneho softvéru obetiam.
- ESET sa domnieva, že MoustachedBouncer používa „systém legálneho odpočúvania“ na vykonávanie svojich AitM operácií.
- Od roku 2014 skupina prevádzkuje malvérový rámec, ktorý ESET nazval NightClub. Na komunikáciu s riadiacim serverom využíva e-mailové protokoly. Od roku 2020 skupina paralelne používa druhý malvérový rámec, ktorý ESET pomenoval Disco.
- NightClub a Disco podporujú ďalšie špionážne pluginy vrátane nástrojov na vyhotovenie snímok obrazovky, nahrávanie zvuku a kradnutie súborov.
Jej názov je odvodený od jej pôsobenia v Bielorusku. Podľa všetkého táto skupina koná v súlade so záujmami tamojšej vlády. Skupina je aktívna minimálne od roku 2014 a zameriava sa výlučne na zahraničné veľvyslanectvá v Bielorusku, vrátane tých európskych. Od roku 2020 je skupina MoustachedBouncer s najväčšou pravdepodobnosťou schopná vykonávať útoky typu adversary-in-the-middle (AitM) na úrovni poskytovateľov internetových služieb v rámci Bieloruska s cieľom kompromitovať svoje ciele. Skupina používa dve samostatné sady nástrojov, ktoré ESET pomenoval NightClub a Disco. Výskum exkluzívne odprezentoval počas konferencie Black Hat USA 2023 výskumník spoločnosti ESET Matthieu Faou.
Podľa telemetrie spoločnosti ESET sa skupina zameriava na zahraničné veľvyslanectvá v Bielorusku. ESET identifikoval štyri krajiny, ktorých zamestnanci veľvyslanectiev boli terčom útoku: dve z Európy, jedna z južnej Ázie a jedna z Afriky. Všetko nasvedčuje tomu, že skupina MoustachedBouncer koná v súlade so záujmami Bieloruska a špecializuje sa na špionáž, konkrétne na zahraničné veľvyslanectvá v Bielorusku. MoustachedBouncer využíva pokročilé techniky pre komunikáciu s riadiacim serverom, vrátane zachytávania siete na úrovni poskytovateľov internetových služieb v prípade malvéru Disco, e-mailov v prípade malvéru NightClub a DNS v jednom z pluginov NightClub.
Hoci výskumníci spoločnosti ESET analyzujú MoustachedBouncer ako samostatnú skupinu, identifikovali určité prvky, na základe ktorých ESET s nižšou mierou istoty usudzuje, že MoustachedBouncer spolupracuje s ďalšou aktívnou špionážnou skupinou Winter Vivern, ktorá sa v roku 2023 zamerala na vládnych zamestnancov viacerých európskych krajín vrátane Poľska a Ukrajiny.
Na kompromitovanie svojich cieľov útočníci z MoustachedBouncer manipulujú s internetovým prístupom svojich obetí, pravdepodobne na úrovni poskytovateľa internetových služieb, aby oklamali systém Windows, že sa nachádza za portálom na prihlásenie do siete. „V prípade IP rozsahov, na ktoré sa MoustachedBouncer zameriava, je sieťová prevádzka presmerovaná na zdanlivo legitímnu, ale falošnú stránku Windows Update,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý objavil túto skupinu. „Túto techniku adversary-in-the-middle útočníci využívajú len proti niekoľkým vybraným organizáciám, pravdepodobne len ambasádam, nie v celej krajine. Tento postup nám pripomína skupiny Turla a StrongPity, ktoré za behu kompromitovali inštalačné súbory na úrovni poskytovateľov internetových služieb.“
„Hoci nemožno úplne vylúčiť ani kompromitáciu routerov s cieľom uskutočniť AitM útoky na siete veľvyslanectiev, možnosť legálneho odpočúvania v Bielorusku naznačuje, že k manipulácii prevádzky dochádza skôr na úrovni poskytovateľov internetových služieb než na routeroch obetí,“ vysvetľuje výskumník spoločnosti ESET.
Od roku 2014 sa rodiny škodlivého softvéru používané skupinou MoustachedBouncer vyvinuli. Veľká zmena nastala v roku 2020, keď skupina začala používať útoky typu adversary-in-the-middle. MoustachedBouncer prevádzkuje dve rodiny malvérov paralelne, ale na danom počítači je v danom čase nasadená len jedna. ESET sa domnieva, že Disco používajú útočníci v spojení s AitM útokmi, zatiaľ čo NightClub v prípade obetí, kde zachytávanie prevádzky na úrovni poskytovateľa internetu nie je možné z dôvodu bezpečnostných opatrení, ako je napríklad používanie end-to-end šifrovanej VPN, kde je internetová prevádzka smerovaná mimo Bieloruska.
„Hlavným odporúčaním je, aby organizácie v cudzích krajinách, kde sa nedá dôverovať internetovému prostrediu, mali pre všetku internetovú prevádzku používať end-to-end šifrovaný VPN tunel smerujúci na dôveryhodné miesto. Takto dokážu obísť zariadenia na kontrolu siete. Mali by tiež používať kvalitný a aktualizovaný bezpečnostný softvér,“ radí Faou.
Malvér NightClub využíva na exfiltráciu údajov bezplatné e-mailové služby, konkrétne českú webmailovú službu Seznam.cz a ruského poskytovateľa webmailu Mail.ru. ESET sa domnieva, že útočníci si namiesto kompromitácie legitímnych e-mailových účtov vytvorili vlastné.
Hackerská skupina sa zameriava na krádež súborov a monitorovanie diskov, vrátane tých externých. Medzi schopnosti NightClubu patrí aj nahrávanie zvuku, snímanie obrazovky a zaznamenávanie stlačení na klávesnici. Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity, alebo v podcaste ESET Research venujúcom sa tejto téme. Pre najnovšie odhalenia výskumníkov spoločnosti ESET sledujte Twitter ESET Research.