Útočníci využívají ke kyberšpionáži e-mailové schránky od Seznam.cz
Společnost ESET odhalila novou kyberšpionážní skupinu, která využívá ke svým útokům bezplatně vytvořené e-mailové schránky od společnosti Seznam.cz. Skupina MoustachedBouncer je aktivní minimálně od roku 2014 a specializuje se na špionážní útoky na zahraniční ambasády nacházející se v Bělorusku. Poznatky o skupině exkluzivně prezentoval expert společnosti ESET Matthieu Faou během konference Black Hat USA 2023.
ESET objevil novou kyberšpionážní skupinu MoustachedBouncer.
Její název je odvozen od její přítomnosti v Bělorusku a od skutečnosti, že
velmi pravděpodobně operuje v souladu se zájmy tamní vlády. Skupina je aktivní
minimálně od roku 2014 a zaměřuje se pouze na zahraniční velvyslanectví v
Bělorusku, včetně těch evropských.
Od roku 2020 je MoustachedBouncer s největší
pravděpodobností schopen kompromitovat své cíle útoky typu
adversary-in-the-middle (AitM) na úrovni poskytovatelů internetových služeb
(ISP) působících v Bělorusku. Skupina používá dvě samostatné sady nástrojů,
které ESET pojmenoval NightClub a Disco.
Podle zjištění společnosti ESET malware NightClub využívá k
exfiltraci dat bezplatné e-mailové služby, konkrétně český webmail Seznam.cz a
ruského poskytovatele webmailu Mail.ru. ESET se domnívá, že útočníci si
vytvořili vlastní e-mailové účty.
Útoky cílí na diplomaty v Bělorusku
Podle telemetrie společnosti ESET se skupina zaměřuje na
zahraniční ambasády v Bělorusku. Společnost ESET identifikovala ambasády ze
čtyř zemí, jejichž zaměstnanci se stali terčem tohoto útoku: dvě z Evropy,
jednu z jižní Asie a jednu z Afriky. MoustachedBouncer používá pokročilé
techniky pro komunikaci s řídícím serverem, včetně odposlechu sítě na úrovni
ISP v případě malwaru Disco, zachycení e-mailů v případě malwaru NightClub a
odposlechu služby DNS v jednom z pluginů NightClub.
Přestože ESET sleduje MoustachedBouncer jako samostatnou
skupinu, existují náznaky, že spolupracuje s další aktivní špionážní skupinou
Winter Vivern, která se v roce 2023 zaměřila na vládní pracovníky několika
evropských zemí, včetně Polska a Ukrajiny.
Ke kompromitaci svých cílů útočníci skupiny
MoustachedBouncer manipulují s internetovým připojením svých obětí,
pravděpodobně na úrovni poskytovatele internetových služeb. Tím mohou oklamat
samotný systém Windows zdáním, že se nachází za tzv. captive portálem, webovou
stránkou, která se zobrazuje nově připojeným uživatelům před tím, než jim bude
udělen další přístup do sítě.
„U rozsahu IP adres, na které se MoustachedBouncer
zaměřuje, je síťový provoz přesměrován na falešnou, ale legitimně vypadající
stránku Windows Update,“ říká expert společnosti ESET Matthieu Faou, který
novou útočnou skupinu objevil a popsal její fungování během konference Black
Hat USA 2023. „Tuto techniku adversary-in-the-middle používají útočníci
pouze proti několika vybraným organizacím, konkrétně tedy ambasádám, nikoliv
celostátně. Scénář AitM nám připomíná skupiny Turla a StrongPity, kterým se
podařilo kompromitovat instalační soubory na úrovni poskytovatelů internetových
služeb.“
„Ačkoli nelze zcela vyloučit kompromitaci routerů s cílem
uskutečnit AitM útoky na sítě ambasád, možnost legálního odposlechu v Bělorusku
naznačuje, že k manipulaci s provozem dochází spíše na úrovni poskytovatelů
internetových služeb než na routerech cílů,“ vysvětluje Faou.
Útočná skupina je aktivní minimálně od roku 2014
Od roku 2014 se rodiny malwaru používané skupinou
MoustachedBouncer vyvíjely a velká změna nastala v roce 2020, kdy skupina
začala používat útoky typu adversary-in-the-middle. MoustachedBouncer provozuje
dvě rodiny malwaru paralelně, ale na daném zařízení je v jednu chvíli nasazena
pouze jedna. ESET se domnívá, že malware Disco se používá ve spojení s AitM
útoky, zatímco malware NightClub se používá u obětí, kde není možné zachytit provoz
na úrovni poskytovatele internetu kvůli bezpečnostním opatřením, jako je
například použití koncové šifrované VPN, kdy je internetový provoz směrován
mimo Bělorusko.
Útočná skupina se zaměřuje na krádeže souborů a monitorování
disků, včetně těch externích. Malware NightClub dokáže také nahrávat zvuk,
pořizovat snímky obrazovky a zaznamenávat stisky kláves.
„Hlavním doporučením je, aby organizace v cizích zemích,
kde nelze důvěřovat internetu, používaly pro veškerý svůj internetový provoz
VPN tunel s koncovým šifrováním směřující na důvěryhodné místo. Takto dokáží
obejít zařízení pro kontrolu sítě. Měly by také používat kvalitní a
aktualizovaný bezpečnostní software,“ radí Faou.
Doprovodný obrázek: Pixabay
Zveřejněno: 18. 08. 2023