Podľa všetkého špionážna hekerská skupina MoustachedBouncer koná v súlade so záujmami bieloruskej vlády. Skupina je aktívna minimálne od roku 2014 a zameriava sa výlučne na zahraničné veľvyslanectvá v Bielorusku. Od roku 2020 je s najväčšou pravdepodobnosťou schopná vykonávať útoky typu adversary-in-the-middle (AitM) na úrovni poskytovateľov internetových služieb v rámci Bieloruska s cieľom kompromitovať svoje ciele. Skupina používa dve samostatné sady nástrojov, ktoré Eset pomenoval NightClub a Disco. Výskum exkluzívne odprezentoval počas konferencie Black Hat USA 2023 výskumník spoločnosti Eset Matthieu Faou.

Eset identifikoval štyri krajiny, ktorých zamestnanci veľvyslanectiev boli terčom útoku: dve z Európy, jedna z južnej Ázie a jedna z Afriky. Skupina využíva pokročilé techniky pre komunikáciu s riadiacim serverom, vrátane zachytávania siete na úrovni poskytovateľov internetových služieb v prípade malvéru Disco, e-mailov v prípade malvéru NightClub a DNS v jednom z pluginov NightClub. Hoci výskumníci spoločnosti Eset analyzujú MoustachedBouncer ako samostatnú skupinu, identifikovali určité prvky, na základe ktorých ESET s nižšou mierou istoty usudzuje, že MoustachedBouncer spolupracuje s ďalšou aktívnou špionážnou skupinou Winter Vivern, ktorá sa v roku 2023 zamerala na vládnych zamestnancov viacerých európskych krajín vrátane Poľska a Ukrajiny.

Na kompromitovanie svojich cieľov útočníci z MoustachedBouncer manipulujú s internetovým prístupom svojich obetí, pravdepodobne na úrovni poskytovateľa internetových služieb, aby oklamali systém Windows, že sa nachádza za portálom na prihlásenie do siete. „V prípade IP rozsahov, na ktoré sa MoustachedBouncer zameriava, je sieťová prevádzka presmerovaná na zdanlivo legitímnu, ale falošnú stránku Windows Update,“ hovorí výskumník spoločnosti Eset Matthieu Faou, ktorý objavil túto skupinu. „Túto techniku adversary-in-the-middle útočníci využívajú len proti niekoľkým vybraným organizáciám, pravdepodobne len ambasádam, nie v celej krajine. Tento postup nám pripomína skupiny Turla a StrongPity, ktoré tiež podobným spôsobom kompromitovali inštalačné súbory na úrovni poskytovateľov internetových služieb.“

Čítajte viac:

Hekeri použili na sledovanie politikov z niekoľkých krajín „romantickú pascu“

„Hoci nemožno úplne vylúčiť ani kompromitáciu routerov s cieľom uskutočniť AitM útoky na siete veľvyslanectiev, možnosť legálneho odpočúvania v Bielorusku naznačuje, že k manipulácii prevádzky dochádza skôr na úrovni poskytovateľov internetových služieb než na routeroch obetí,“ vysvetľuje výskumník spoločnosti Eset.

Od roku 2014 sa rodiny škodlivého softvéru používané skupinou MoustachedBouncer vyvinuli. Veľká zmena nastala v roku 2020, keď skupina začala používať útoky typu adversary-in-the-middle. MoustachedBouncer prevádzkuje dve rodiny malvérov paralelne, ale na danom počítači je v danom čase nasadená len jedna. Eset sa domnieva, že Disco používajú útočníci v spojení s AitM útokmi, zatiaľ čo NightClub v prípade obetí, kde zachytávanie prevádzky na úrovni poskytovateľa internetu nie je možné z dôvodu bezpečnostných opatrení, ako je napríklad používanie end-to-end šifrovanej VPN, kde je internetová prevádzka smerovaná mimo Bieloruska.

„Hlavným odporúčaním je, aby organizácie v cudzích krajinách, kde sa nedá dôverovať internetovému prostrediu, mali pre všetku internetovú prevádzku používať end-to-end šifrovaný VPN tunel smerujúci na dôveryhodné miesto. Takto dokážu obísť zariadenia na kontrolu siete. Mali by tiež používať kvalitný a aktualizovaný bezpečnostný softvér,“ radí Faou.

Malvér NightClub využíva na exfiltráciu údajov bezplatné e-mailové služby, konkrétne českú webmailovú službu Seznam.cz a ruského poskytovateľa webmailu Mail.ru. Eset sa domnieva, že útočníci si namiesto kompromitácie legitímnych e-mailových účtov vytvorili vlastné.

Hackerská skupina sa zameriava na krádež súborov a monitorovanie diskov, vrátane tých externých. Medzi schopnosti NightClubu patrí aj nahrávanie zvuku, snímanie obrazovky a zaznamenávanie stlačení na klávesnici. Viac technických informácií možno nájsť na  špeciálnom blogu na stránke WeLiveSecurity.