Kibernetiniai nusikaltėliai „MoustachedBouncer“ nusitaikė į užsienio diplomatus Baltarusijoje

parašė Gabrielė E. Hall - - 2023-08-21

„MoustachedBouncer“ – grupuotė, apie kurią visuomenė sužinojo gan neseniai

„MoustachedBouncer“ taikosi į diplomatus

„MoustachedBouncer“ yra naujai atskleista kibernetinio šnipinėjimo grupė, veikianti mažiausiai dar nuo 2014 metų. Jos specializacija – užsienio šalių ambasadų, kurios yra įsikūrusios Baltarusijoje, šnipinėjimas. Manoma, kad „ESET Research“ tyrėjų atrasta^[1] bei atskleista grupė yra glaudžiai susijusi su Baltarusijos interesais. Ši grupuotė naudoja labai pažangias technologijas, įskaitant elektroniniu paštu pagrįstus C&C protokolus, C++ modulinius slaptus įėjimus (ang. modular backdoors) ir tinklo ryšio perėmimo (ang. adversary-in-the-middle, AitM) atakas.

Remiantis „ESET“ kibernetinio saugumo specialistų išvadomis, grupė savo atakoms vykdyti naudojo du atskirus įrankių rinkinius, pavadintus „NightClub“ ir „Disco“. Manoma, jog „MoustachedBouncer“ egzistavimas atskleidžia Baltarusijos remiamą įsilaužimą ir parodo, kaip kibernetiniai užpuolikai pasitelkia IPT lygio bendradarbiavimą, siekdami įvykdyti šnipinėjimo tikslus.

Faktai apie grupuotę ir vykdytos operacijos

„MoustachedBouncer“ grupė veikia mažiausiai nuo 2014 metų, daugiausia dėmesio skirdama užsienio šalių ambasadoms Baltarusijoje. „ESET“ ataskaitoje išryškinami šie pagrindiniai punktai apie iki tol nežinotą grupuotę:

aktyviai vykdo veiklą jau nuo 2014 metų,
tikėtina, jog palaiko Baltarusijos valdžios interesus,
specializuojasi užsienio ambasadų šnipinėjime,
naudoje tinklo ryšio perėmimo (AitM) techniką nuo 2020 metų,
galimai bendradarbiauja su kita įsilaužėlių grupe – „Winter Vivern“^[2].

Buvo nustatytos dvi kenkėjiškų programų sistemos – „NightClub“ ir „Disco“, kurios abi palaiko papildomus šnipinėjimo įskiepius, skirtus daryti ekrano kopijoms, garso įrašams ir net failų vagystei.

Pirmą kartą ESET tyrėjai atrado „MoustachedBouncer“ grupę 2022 metų vasario mėnesį, netrukus po Rusijos invazijos į Ukrainą^[3]. Skaitmeninis puolimas buvo nukreiptas į atrinktus diplomatus vienoje Europos sąjungos ambasadoje, kuriuos siejo sudėtingi ryšiai su vykstančiu konfliktu. Matthieu Faou, atsakingas už šio tyrimo dokumentus, nusprendė neatskleisti šalies tapatybės ir išaiškino, kad užpuoliko veiksmai buvo apipinti geopolitinėmis subtilybėmis.

Taktika, tikslai ir naudojama technika

„MoustachedBouncer“ nuo 2014 metų spėjo nusitaikyti į mažiausiai keturias užsienio šalių ambasadas Baltarusijoje, įskaitant dvi Europos šalių, vieną Pietų Azijos šalies ir Afrikos ambasadas. Panašu, kad grupuotė gana sėkmingai vykdė savo operacijas nepastebėta kibernetinio saugumo specialistų ir gebėdama pasiekti aukšto lygio taikinius.

Grupės gebėjimas sugadinti tinklo srautą, galimai netgi bendradarbiaujant su Baltarusijos interneto paslaugų teikėjais, buvo esminė jos sėkmės dalis. Apgaudinėdami taikinio „Windows“ operacinę sistemą ir nukreipdami ją į netikras svetaines, kibernetiniai nusikaltėliai gali veiksmingai pristatyti kenkėjiškas programas.

Vienas iš pagrindinių būdų kaip grupei pavykdavo atlikti tokius veiksmus – teisėtos perėmimo sistemos, panašios į Rusijos SORM, naudojimas. Tai sistema, kuri leidžia perimti ir keisti tinklo ryšį. Ši sistema žinoma jau daugelį metų ir visi Baltarusijos telekomunikacijų tiekėjai turi būti su ja suderinami. 2016 metų „Amnesty“ ataskaitoje ši veikla apibūdinama taip^[4]:

Baltarusijos sekimo sistema turi daug probleminių aspektų. Tarp jų žinoma SORM sistema – standartizuotų techninių ryšių perėmimo priemonių rinkinys, leidžiantis valdžios institucijoms tiesiogiai, nuotoliniu būdu valdyti prieigą prie visų vartotojų pranešimų ir susijusių duomenų, nepranešant teikėjams.

Dvi kenkėjiškų programų sistemos, „NightClub“ ir „Disco“, buvo sukurtos siekiant sėkmingai vykdyti įvairią šnipinėjimo veiklą. „NightClub“ buvo sukurta 2014 metais ir C&C ryšiui naudoja SMTP bei IMAP protokolus. O 2020 metais sukurta „Disco“ naudojama lygiagrečiai su pirmąją sistema ir suteikia įsilaužėliams papildomų funkcijų.

Abi kenkėjiškų programų sistemos yra gana sudėtingos, o jų egzistavimas pabrėžia nuolat besivystančių valstybės remiamų kibernetinio įsilaužimo grupių, tokių kaip „MoustachedBouncer“, problemą.

Ambasados ir įvairios organizacijos turėtų pasirūpinti savo saugumu

Slaptas „MoustachedBouncer“ veikimo būdas, ypač gebėjimas išlikti nepastebėtiems beveik dešimtmetį, įrodo šios grupuotės narių įgūdžius ir pabrėžia besivystančias kibernetinio šnipinėjimo grėsmes. Pasiekdama aukšto lygio taikinius, grupė pademonstravo ne tik savo įžūlumą, bet ir pažangias galimybes ir įžūlumą.

Užsienio subjektams, ypač Baltarusijoje veikiančioms ambasadoms, tai yra labai stiprus įspėjimas. Organizacijoms primygtinai rekomenduojama visam interneto srautui naudoti pilnai užšifruotus VPN ryšius. Šis protokolas gali veikti kaip pagrindinė apsauga nuo bet kokių tinklo tikrinimo įrenginių ir galimų tinklo perėmimų.

„MoustachedBouncer“ atsiradimas tarptautinėje kibernetinio šnipinėjimo scenoje taip pat pabrėžia neatidėliotiną poreikį sustiprinti kibernetinį saugumą. Kadangi kibernetinės grėsmės tampa vis sudėtingesnės, organizacijoms ir vyriausybėms svarbu sustiprinti savo gynybą, užtikrinant, kad slapta informacija būtų apsaugota nuo naujų, itin pažangių kibernetinių įsilaužįlių, tokių kaip „MoustachedBouncer“ grupė.

Apie autorių

Gabriel E. Hall - Entuziastinga virusų tyrėja

Gabrielė E. Hall yra entuziastinga virusų tyrėja, kuri dirba Virusai.lt portale beveik dešimtmetį.

Susisiekite su Gabriel E. Hall
Apie kompaniją Esolutions

Šaltiniai

^ Matthieu Faou. MoustachedBouncer: Espionage against foreign diplomats in Belarus. WeLiveSecurity. In-depth security research.
^ Tom Hegel. Winter Vivern | Uncovering a Wave of Global Espionage. SentinelLabs. Security research.
^ Lorenzo Franceschi-Bicchierai. Belarus hackers target foreign diplomats with help of local ISPs, researchers say. TechCrunch. Startup and Technology News.
^ "It's enough for people to feel it exists". Amnesty. Global movement for human rights.