25 sierpnia 2023

Grupa cyberprzestępców szpiegująca dyplomatów na Białorusi zdemaskowana

Badacze ESET zidentyfikowali cyberprzestępczą grupę MoustachedBouncer, działającą najprawdopodobniej zgodnie z interesami białoruskiego rządu. Wykorzystuje ona zaawansowane technologie do szpiegowania pracowników zagranicznych ambasad na Białorusi. Może być też powiązana z inną grupą, która za cel obrała także polskich dyplomatów.

Najważniejsze informacje:

  • Badacze ESET zidentyfikowali grupę cyberprzestępczą MoustachedBouncer, specjalizującą się m.in. w szpiegowaniu zagranicznych ambasad na Białorusi.
  • Grupa prawdopodobnie działa zgodnie z interesami Białorusi i funkcjonuje od 2014 roku.
  • Od 2020 r. cyberprzestępcy z tej grupy wykorzystują zaawansowane techniki phishingowe m.in. do instalowania oprogramowania szpiegującego.
  • Eksperci ESET sądzą, że MoustachedBouncer używa do prowadzenia tych operacji legalnej infrastruktury internetowej, istniejącej na Białorusi.
  • MoustachedBouncer może także współpracować z inną grupą cyberprzestępczą - Winter Vivern, która także prowadzi działania wymierzone w zagranicznych dyplomatów, m.in. z Polski.
  • Grupa koncentruje się na instalowaniu oprogramowania szpiegującego, kradzieży plików i monitorowaniu dysków, w tym zewnętrznych. Jej narzędzia są w stanie również nagrywać dźwięk, robić zrzuty ekranu i rejestrować naciśnięcia klawiszy.

ESET wykrył nową grupę cyberszpiegowską, MoustachedBouncer, działającą na Białorusi, prawdopodobnie w sposób zgodny z interesami białoruskich instytucji. Grupa aktywna co najmniej od 2014 roku bierze na cel jedynie funkcjonujące w tym kraju zagraniczne ambasady, w tym przedstawicielstwa krajów europejskich. Od 2020 roku MoustachedBouncer najprawdopodobniej przeprowadza na terenie Białorusi ataki typu adversary-in-the-middle (AitM). To typ ataku MITM („człowiek pośrodku”), polegający na umieszczeniu serwera pomiędzy ofiarą, a stroną internetową i przechwytywaniu w ten sposób danych lub instalowaniu oprogramowania szpiegującego. Grupa wykorzystuje w tym celu infrastrukturę dostawcy usług internetowych i używa dwóch oddzielnych zestawów zaawansowanych narzędzi z zakresu złośliwego oprogramowania, które ESET nazwał NightClub i Disco. Badanie demaskujące działanie MoustachedBouncer zostało zaprezentowane podczas konferencji Black Hat USA 2023 10 sierpnia 2023 r. przez badacza firmy ESET, Matthieu Faou.

Według danych telemetrycznych ESET, grupa atakuje zagraniczne ambasady na Białorusi, a celem ataków stał się do tej pory personel placówek dyplomatycznych czterech krajów: dwóch z Europy, jednego z Azji Południowej i jednego z Afryki. ESET ocenia, że działania MoustachedBouncer są najprawdopodobniej zgodne z interesami Białorusi, a grupa specjalizuje się w szpiegostwie. Cyberprzestępcy wykorzystują zaawansowane techniki do tzw. komunikacji C&C (ang. Command and Control, pol. Dowodzenia i Kontroli), w tym przechwytywanie ruchu sieciowego na poziomie dostawcy usług internetowych, wiadomości e-mail i protokół DNS.

Choć badanie identyfikuje MoustachedBouncer jako oddzielną grupę, znaleziono także elementy, które mogą świadczyć o tym, że współpracuje ona z inną aktywną grupą szpiegowską, Winter Vivern, która atakowała w 2023 roku pracowników rządowych kilku krajów europejskich, w tym Polski i Ukrainy. Badacze ESET podkreślają jednak, że dowody na to powiązanie nie są pewne.

Przeprowadzając ataki, członkowie grupy MoustachedBouncer manipulują dostępem swoich ofiar do internetu, prawdopodobnie na poziomie dostawcy usług internetowych, aby system Windows uwierzył, że stoi za tzw. portalem przechwytującym (ang.  captive portal). W przypadku zakresów adresów IP, atakowanych przez MoustachedBouncer, ruch sieciowy jest przekierowywany na pozornie legalną, ale fałszywą stronę Windows Update. Ta technika nie jest wykorzystywana powszechnie przez grupę, służy do atakowania tylko kilku wybranych organizacji, być może tylko ambasad. Scenariusz przypomina nam działania cyberprzestępców z grup Turla i StrongPity, którzy infekowali instalatory na poziomie ruchu sieciowego dostawców usług internetowych. Chociaż nie można w pełni odrzucić koncepcji, że do działań MoustachedBouncer dochodzi za pośrednictwem zhakowanych routerów, istnienie legalnych możliwości przechwytywania ruchu na Białorusi pozwala przypuszczać, że manipulowanie ruchem odbywa się na poziomie dostawcy usług internetowych, a nie na docelowych routerach

Matthieu Faou,
badacz ESET, który dokonał odkrycia

Od 2014 roku szkodliwe oprogramowanie wykorzystywane przez MoustachedBouncer ewoluowało, a duża zmiana nastąpiła w 2020 roku, kiedy grupa zaczęła wykorzystywać ataki typu adversary-in-the-middle. MoustachedBouncer korzysta równolegle z dwóch zespołów narzędzi, ale na danej maszynie wdrażany jest tylko jeden z nich. ESET uważa, że Disco jest używane w połączeniu z atakami AitM, podczas gdy NightClub jest używany wobec ofiar, w przypadku których przechwycenie ruchu na poziomie dostawcy usług internetowych nie jest możliwe ze względu na środki zaradcze, takie jak użycie szyfrowanej sieci VPN typu end-to-end, w której ruch internetowy jest kierowany poza Białoruś.

Implant NightClub wykorzystuje bezpłatne usługi poczty elektronicznej: czeską usługę Seznam.cz i rosyjskiego dostawcę poczty internetowej Mail.ru, w celu eksfiltracji danych. Prawdopodobnie osoby atakujące utworzyły w tym celu własne konta e-mail, zamiast korzystać z przejętych kont osób trzecich.

Grupa koncentruje się na kradzieży plików i monitorowaniu dysków, w tym zewnętrznych. Możliwości NightClub obejmują również nagrywanie dźwięku, robienie zrzutów ekranu i rejestrowanie naciśnięć klawiszy.

Głównym wnioskiem jest to, że organizacje w krajach, w których dostęp do internetu nie jest wystarczająco godny zaufania, powinny używać szyfrowanego połączenia VPN typu end-to-end do zaufanej lokalizacji dla całego ruchu internetowego, w celu obejścia wszelkich urządzeń mogących służyć do kontroli i modyfikacji ruchu sieciowego. Powinny również korzystać z najwyższej jakości, zaktualizowanego oprogramowania zabezpieczającego

Matthieu Faou,
badacz ESET, który dokonał odkrycia

Więcej informacji na temat działalności MoustachedBouncer można znaleźć we wpisie na blogu „MoustachedBouncer: Szpiegostwo przeciwko zagranicznym dyplomatom na Białorusi” w serwisie WeLiveSecurity.

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
[email protected]
32 259 11 34