Kibernetinio saugumo sprendimų gamintojos ESET tyrėjai aptiko naują kibernetinio šnipinėjimo grupę MoustachedBouncer. Grupė veikia mažiausiai nuo 2014 m. Baltarusijoje ir palaiko vietos valdžios interesus.
Ji taikosi tik į užsienio, įskaitant Europos, ambasadas Baltarusijoje. Nuo 2020 m. MoustachedBouncer vykdė tinklo ryšio perėmimo (angl. adversary-in-the-middle, AitM) atakas apsimesdama Baltarusijos interneto paslaugų teikėjais, siekiant pakenkti savo taikiniams.
Telemetrijos duomenimis, grupė taikosi į užsienio šalių ambasadas Baltarusijoje. Konkrečiau įvardintos keturios šalys, į kurių ambasadų darbuotojus buvo nukreiptos atakos: dvi Europoje, viena Pietų Azijoje ir viena iš Afrikoje. Kaip teigiama, labai tikėtina, kad MoustachedBouncer yra susijusi su Baltarusijos politiniais interesais, todėl šnipinėja tik užsienio ambasadas Baltarusijoje.
MoustachedBouncer naudoja pažangius valdymo ir kontrolės (angl. Command & Control, C&C) ryšių metodus, įskaitant tinklo perėmimą interneto paslaugų tiekėjo lygmeniu naudojantis specialia kenkėjiškų programų šeima, pavadinta Disco bei el. laiškams ir DNS skirtu įskiepiu vadinamu Nightclub.
Nors tyrėjai seka MoustachedBouncer kaip atskirą grupę, buvo aptikta elementų, kurie leidžia spėti, kad ji bendradarbiauja su kita aktyvia šnipinėjimo grupe Winter Vivern, kuri 2023 m. taikėsi į kelių Europos šalių, tarp jų Lenkijos ir Ukrainos, vyriausybinius darbuotojus.
Norėdami pakenkti savo taikiniams, MoustachedBouncer programišiai suklastoja savo aukų interneto prieigą, apsimesdami interneto paslaugų tiekėju, kad Windows sistema patikėtų, jog tai privatus, saugus portalas. „MoustachedBouncer taikiniais pasirinktų IP adresų tinklo srautas nukreipiamas į iš pažiūros teisėtą, bet suklastotą Windows Update puslapį“, – sako naują grėsmių grupę aptikęs tyrėjas Matthieu Faou. „Šis AitM metodas taikomas tik prieš kelias pasirinktas organizacijas, veikiausiai tik prieš ambasadas, o ne prieš visą šalį. AitM scenarijus primena Turla ir StrongPity programišių grupuotes, kurios greitai ir be jokio išankstinio pasiruošimo, apsimesdamos interneto paslaugų tiekėju, diegdavo Trojos arklių kenkėjišką programinę įrangą.“
„Nors negalima visiškai paneigti, kad siekiant vykdyti AitM atakas ambasadų tinkluose buvo pažeisti maršrutizatoriai, teisėtas duomenų perėmimas Baltarusijoje leidžia manyti, kad duomenų srautas buvo keičiamas interneto paslaugų teikėjų, o ne taikinių maršrutizatorių lygmeniu“, – aiškina tyrėjas.
Nuo 2014 m. MoustachedBouncer naudojamos kenkėjiškų programų šeimos evoliucionavo, o didelis pokytis įvyko 2020 m., kai grupuotė pradėjo naudoti AitM atakas. MoustachedBouncer lygiagrečiai naudoja dvi įskiepių šeimas, tačiau konkrečiame kompiuteryje vienu metu diegiama tik viena jų. ESET mano, kad Disco naudojamas kartu su AitM atakomis, o NightClub naudojamas aukoms, kai duomenų srauto perėmimas interneto paslaugų teikėjo mastu nėra įmanomas dėl poveikio sušvelninimo priemonių, pavyzdžiui, naudojant šifruotą VPN ryšį, kai interneto srautas nukreipiamas už Baltarusijos ribų.
„Pagrindinė išvada – organizacijos, esančios užsienio šalyse, kuriose negalima patikimai naudotis internetu, norėdamos apeiti bet kokius tinklo tikrinimo įrenginius, visam savo interneto srautui turėtų naudoti šifruotą VPN ryšį ir nukreipti jį į patikimą vietą. Jos taip pat turėtų naudoti aukščiausios kokybės atnaujintą kompiuterių saugumo programinę įrangą“, – pataria Faou.
NightClub įskiepis duomenų išviliojimui naudoja nemokamas el. pašto paslaugas, t. y. Čekijos – Seznam.cz ir Rusijos el. pašto paslaugų teikėją Mail.ru. Tyrėjai mano, kad užpuolikai susikūrė savo el. pašto paskyras, užuot įsilaužę į jau egzistuojančias.
Ši grėsmių grupė daugiausia dėmesio skiria failų vagystei ir diskų, įskaitant išorinius, stebėjimui. NightClub galimybės taip pat apima garso įrašymą, ekrano nuotraukų darymą ir klaviatūros klavišų paspaudimų registravimą. Tyrėjų manymu, MoustachedBouncer AitM operacijų vykdymui naudoja „teisėtą pasiklausymo sistemą”. Teisėtas pasiklausymas – tai telekomunikacijų ir telefono tinklų priemonės, leidžiančios teisėsaugos institucijoms, turinčioms teismo įsakymus ar kitus teisinius leidimus, pasirinktinai pasiklausyti atskirų abonentų pokalbių.
