Дослідники ESET виявили кіберзлочинне угруповання MoustachedBouncer, яке, найімовірніше, діє в інтересах білоруського уряду. Воно використовує передові технології для шпигунства за співробітниками іноземних посольств у Білорусі. Воно також може бути пов'язане з іншою групою, мішенню якої стали, зокрема, польські дипломати
Рекомендуємо прочитати: Bing Chat з'явиться в інших браузерах.
ESET виявила нове кібершпигунське угруповання MoustachedBouncer, що діє в Білорусі, ймовірно, в інтересах білоруського уряду. Група активна щонайменше з 2014 року і націлена виключно на іноземні посольства, що працюють у цій країні, зокрема представництва європейських країн. З 2020 року MoustachedBouncer, ймовірно, проводить на території Білорусі атаки типу adversary-in-the-middle (AitM). Це тип атаки MITM ("людина посередині"), що полягає в розміщенні сервера між жертвою і веб-сайтом для перехоплення даних або встановлення шпигунського ПЗ. Для цього група використовує інфраструктуру інтернет-провайдера і застосовує два окремі набори передових інструментів шкідливого ПЗ, які ESET назвала NightClub і Disco. Дослідження, що викриває діяльність MoustachedBouncer, було представлено на конференції Black Hat USA 2023 10 серпня 2023 року дослідником ESET Матьє Фау.
За телеметричними даними ESET, група атакує іноземні посольства в Білорусі, а персонал дипломатичних місій чотирьох країн став метою атак на сьогоднішній день: двох з Європи, однієї з Південної Азії та однієї з Африки. ESET вважає, що дії MoustachedBouncer найімовірніше узгоджуються з інтересами Білорусі, а група спеціалізується на шпигунстві. Кіберзлочинці використовують передові методи C&C-комунікації (командування і контролю), включно з перехопленням мережевого трафіку на рівні інтернет-провайдера, електронної пошти та DNS-протоколу.
Хоча дослідження ідентифікує MoustachedBouncer як окрему групу, було також знайдено елементи, які можуть свідчити про те, що вона співпрацює з іншим активним шпигунським угрупуванням Winter Vivern, яке у 2023 році атакувало державних службовців кількох європейських країн, зокрема Польщі та України. Однак дослідники ESET підкреслюють, що докази цього зв'язку не є остаточними.
З 2014 року шкідливе ПЗ, яке використовує MoustachedBouncer, еволюціонувало, а більші зміни відбулися 2020 року, коли група почала використовувати атаки типу adversary-in-the-middle. MoustachedBouncer паралельно використовує два набори інструментів, але на конкретній машині розгортається тільки один із них. ESET вважає, що Disco використовується в поєднанні з AitM-атаками, в той час як NightClub використовується проти жертв, у разі яких перехоплення трафіку на рівні інтернет-провайдера неможливе через захисні заходи, як-от використання зашифрованої VPN-мережі типу end-to-end, в якій інтернет-трафік спрямовується за межі Білорусі.
Імплантат NightClub використовує безкоштовні поштові служби: чеську службу Seznam.cz і російського поштового провайдера Mail.ru для ексфільтрації даних. Імовірно, нападники створили власні облікові записи електронної пошти для цієї мети, а не використовували скомпрометовані облікові записи третіх осіб.
Група зосереджена на крадіжці файлів і моніторингу дисків, включно із зовнішніми. Можливості NightClub також включають запис звуку, створення знімків екрана і реєстрацію натискань клавіш.
Основний висновок полягає в тому, що організації в країнах, де доступ до Інтернету недостатньо надійний, повинні використовувати зашифроване VPN-з'єднання типу end-to-end з довіреним місцезнаходженням для всього інтернет-трафіку, щоб обійти будь-які пристрої, які можуть використовуватися для контролю і зміни мережевого трафіку. Вони також повинні використовувати високоякісне оновлене програмне забезпечення для забезпечення безпеки, – радить Матьє Фау.
