ESET objevil novou kyberšpionážní skupinu MoustachedBouncer. Její název je odvozen od její přítomnosti v Bělorusku a od skutečnosti, že velmi pravděpodobně operuje v souladu se zájmy tamní vlády. Skupina je aktivní minimálně od roku 2014 a zaměřuje se pouze na zahraniční velvyslanectví v Bělorusku, včetně těch evropských. Od roku 2020 je MoustachedBouncer s největší pravděpodobností schopen kompromitovat své cíle útoky typu adversary-in-the-middle (AitM) na úrovni poskytovatelů internetových služeb (ISP) působících v Bělorusku. Skupina používá dvě samostatné sady nástrojů, které ESET pojmenoval NightClub a Disco.
#ESETResearch discovered a previously unknown #Belarus-aligned cyberespionage group that we named #MoustachedBouncer. Active since 2014, they are spying on EU, African and Asian diplomats stationed in 🇧🇾 🇧🇾 1/5 https://t.co/g0oqgmiBb5
— ESET Research (@ESETresearch) August 10, 2023
Podle zjištění společnosti ESET malware NightClub využívá k exfiltraci dat bezplatné e-mailové služby, konkrétně český webmail Seznam.cz a ruského poskytovatele webmailu Mail.ru. ESET se domnívá, že útočníci si vytvořili vlastní e-mailové účty.
Útoky cílí na diplomaty v Bělorusku
Podle telemetrie společnosti ESET se skupina zaměřuje na zahraniční ambasády v Bělorusku. Společnost ESET identifikovala ambasády ze čtyř zemí, jejichž zaměstnanci se stali terčem tohoto útoku: dvě z Evropy, jednu z jižní Asie a jednu z Afriky. MoustachedBouncer používá pokročilé techniky pro komunikaci s řídícím serverem, včetně odposlechu sítě na úrovni ISP v případě malwaru Disco, zachycení e-mailů v případě malwaru NightClub a odposlechu služby DNS v jednom z pluginů NightClub. Přestože ESET sleduje MoustachedBouncer jako samostatnou skupinu, existují náznaky, že spolupracuje s další aktivní špionážní skupinou Winter Vivern, která se v roce 2023 zaměřila na vládní pracovníky několika evropských zemí, včetně Polska a Ukrajiny.
Ke kompromitaci svých cílů útočníci skupiny MoustachedBouncer manipulují s internetovým připojením svých obětí, pravděpodobně na úrovni poskytovatele internetových služeb. Tím mohou oklamat samotný systém Windows zdáním, že se nachází za tzv. captive portálem, webovou stránkou, která se zobrazuje nově připojeným uživatelům před tím, než jim bude udělen další přístup do sítě.
„U rozsahu IP adres, na které se MoustachedBouncer zaměřuje, je síťový provoz přesměrován na falešnou, ale legitimně vypadající stránku Windows Update,“ říká expert společnosti ESET Matthieu Faou, který novou útočnou skupinu objevil a popsal její fungování během konference Black Hat USA 2023. „Tuto techniku adversary-in-the-middle používají útočníci pouze proti několika vybraným organizacím, konkrétně tedy ambasádám, nikoliv celostátně. Scénář AitM nám připomíná skupiny Turla a StrongPity, kterým se podařilo kompromitovat instalační soubory na úrovni poskytovatelů internetových služeb.“
„Ačkoli nelze zcela vyloučit kompromitaci routerů s cílem uskutečnit AitM útoky na sítě ambasád, možnost legálního odposlechu v Bělorusku naznačuje, že k manipulaci s provozem dochází spíše na úrovni poskytovatelů internetových služeb než na routerech cílů,“ vysvětluje Faou ze společnosti ESET.
Útočná skupina je aktivní minimálně od roku 2014
Od roku 2014 se rodiny malwaru používané skupinou MoustachedBouncer vyvíjely a velká změna nastala v roce 2020, kdy skupina začala používat útoky typu adversary-in-the-middle. MoustachedBouncer provozuje dvě rodiny malwaru paralelně, ale na daném zařízení je v jednu chvíli nasazena pouze jedna. ESET se domnívá, že malware Disco se používá ve spojení s AitM útoky, zatímco malware NightClub se používá u obětí, kde není možné zachytit provoz na úrovni poskytovatele internetu kvůli bezpečnostním opatřením, jako je například použití koncové šifrované VPN, kdy je internetový provoz směrován mimo Bělorusko.
Útočná skupina se zaměřuje na krádeže souborů a monitorování disků, včetně těch externích. Malware NightClub dokáže také nahrávat zvuk, pořizovat snímky obrazovky a zaznamenávat stisky kláves. „Hlavním doporučením je, aby organizace v cizích zemích, kde nelze důvěřovat internetu, používaly pro veškerý svůj internetový provoz VPN tunel s koncovým šifrováním směřující na důvěryhodné místo. Takto dokáží obejít zařízení pro kontrolu sítě. Měly by také používat kvalitní a aktualizovaný bezpečnostní software,“ radí Faou.