Исследователи ESET выявили киберпреступную группировку MoustachedBouncer, скорее всего действующую в интересах белорусского правительства. Она использует передовые технологии для шпионажа за сотрудниками иностранных посольств в Беларуси. Она также может быть связана с другой группой, мишенью которой стали в том числе польские дипломаты.
Рекомендуем прочитать: Удаленная работа против очной и гибридной: что лучше?
ESET обнаружила новую кибершпионскую группировку MoustachedBouncer, действующую в Беларуси, вероятно, в интересах белорусского правительства. Группа активна как минимум с 2014 года и нацелена исключительно на иностранные посольства, работающие в этой стране, в том числе представительства европейских стран. С 2020 года MoustachedBouncer, вероятно, проводит на территории Беларуси атаки типа adversary-in-the-middle (AitM). Это тип атаки MITM («человек посередине»), заключающийся в размещении сервера между жертвой и веб-сайтом для перехвата данных или установки шпионского ПО. Для этого группа использует инфраструктуру интернет-провайдера и применяет два отдельных набора передовых инструментов вредоносного ПО, которые ESET назвала NightClub и Disco. Исследование, разоблачающее деятельность MoustachedBouncer, было представлено на конференции Black Hat USA 2023 10 августа 2023 года исследователем ESET Матье Фау.
По телеметрическим данным ESET, группа атакует иностранные посольства в Беларуси, а персонал дипломатических миссий четырех стран стал целью атак на сегодняшний день: двух из Европы, одной из Южной Азии и одной из Африки. ESET считает, что действия MoustachedBouncer скорее всего согласуются с интересами Беларуси, а группа специализируется на шпионаже. Киберпреступники используют передовые методы C&C-коммуникации (командования и контроля), включая перехват сетевого трафика на уровне интернет-провайдера, электронной почты и DNS-протокола.
Хотя исследование идентифицирует MoustachedBouncer как отдельную группу, были также найдены элементы, которые могут свидетельствовать о том, что она сотрудничает с другой активной шпионской группировкой Winter Vivern, которая в 2023 году атаковала государственных служащих нескольких европейских стран, включая Польшу и Украину. Однако исследователи ESET подчеркивают, что доказательства этой связи не являются окончательными.
С 2014 года вредоносное ПО, используемое MoustachedBouncer, эволюционировало, а большие изменения произошли в 2020 году, когда группа начала использовать атаки типа adversary-in-the-middle. MoustachedBouncer параллельно использует два набора инструментов, но на конкретной машине развертывается только один из них. ESET считает, что Disco используется в сочетании с AitM-атаками, в то время как NightClub используется против жертв, в случае которых перехват трафика на уровне интернет-провайдера невозможен из-за защитных мер, таких как использование зашифрованной VPN-сети типа end-to-end, в которой интернет-трафик направляется за пределы Беларуси.
Имплантат NightClub использует бесплатные почтовые службы: чешскую службу Seznam.cz и российского почтового провайдера Mail.ru для эксфильтрации данных. Предположительно, нападающие создали собственные учетные записи электронной почты для этой цели, а не использовали скомпрометированные учетные записи третьих лиц.
Группа сосредоточена на краже файлов и мониторинге дисков, включая внешние. Возможности NightClub также включают запись звука, создание снимков экрана и регистрацию нажатий клавиш.
Основной вывод состоит в том, что организации в странах, где доступ в Интернет недостаточно надежен, должны использовать зашифрованное VPN-соединение типа end-to-end с доверенным местоположением для всего интернет-трафика, чтобы обойти любые устройства, которые могут использоваться для контроля и изменения сетевого трафика. Они также должны использовать высококачественное обновленное программное обеспечение для обеспечения безопасности, – советует Матье Фау.
Рекомендуем прочитать: У Минобороны США будет собственный искусственный интеллект
