ESET Research heeft een nieuwe cyberspionagegroep ontdekt, MoustachedBouncer. De groep is vernoemd naar zijn aanwezigheid in Wit-Rusland en is afgestemd op de belangen van de lokale overheid. De groep is al minstens sinds 2014 actief en richt zich alleen op buitenlandse ambassades, waaronder Europese, in Wit-Rusland.
Sinds 2020 is MoustachedBouncer waarschijnlijk in staat om adversary-in-the-middle (AitM)-aanvallen uit te voeren op ISP-niveau, binnen Wit-Rusland, om zijn doelwitten te compromitteren. AitM-aanvallen uitgevoerd op ISP-niveau verwijzen naar een situatie waarin een kwaadwillende partij (adversary) zich tussen een internetgebruiker en hun Internet Service Provider (ISP) plaatst om communicatie of gegevens te manipuleren. De groep gebruikt twee afzonderlijke toolsets die ESET de namen NightClub en Disco heeft gegeven. Het onderzoek werd exclusief gepresenteerd tijdens de Black Hat USA 2023 conferentie op 10 augustus 2023 door ESET onderzoeker Matthieu Faou.
Volgens telemetrie van ESET richt de groep zich op buitenlandse ambassades in Wit-Rusland en ESET heeft vier landen geïdentificeerd waarvan het ambassadepersoneel het doelwit is: twee uit Europa, één uit Zuid-Azië en één uit Afrika. ESET schat in dat MoustachedBouncer zeer waarschijnlijk is afgestemd op Wit-Russische belangen en is gespecialiseerd in spionage, specifiek tegen buitenlandse ambassades in Wit-Rusland.
MoustachedBouncer maakt gebruik van geavanceerde technieken voor Command and Control (C&C) communicatie, vertaald naar het Nederlands als ‚”Bevel en Controle” communicatie dat verwijst naar het proces waarbij een externe entiteit of kwaadwillende partij intructies en controle uitoefent over geinfecteerde computers, netwerken of apparaten. De C&C communicatie is inclusief netwerk interceptie op ISP niveau voor het Disco-implantaat, e-mails voor het NightClub-implantaat en Domain Name System (DNS) in een van de NightClub plugins.
Hoewel ESET Research MoustachedBouncer volgt als een afzonderlijke groep, hebben we elementen gevonden die ESET met een laag vertrouwen laten inschatten dat het samenwerkt met een andere actieve spionagegroep, Winter Vivern. Zij hebben in 2023 overheidsmedewerkers van verschillende Europese landen, waaronder Polen en Oekraïne, als doelwit gekozen.
”Om hun doelwitten te compromitteren, knoeien de beheerders van MoustachedBouncer met de internettoegang van hun slachtoffers, waarschijnlijk op ISP-niveau, om Windows te laten geloven dat het zich achter een gesloten portaal bevindt. Voor IP-adressen, waar MoustachedBouncer zich op richt, wordt het netwerkverkeer omgeleid naar een ogenschijnlijk legitieme, maar valse Windows Update-pagina”, zegt ESET-onderzoeker Matthieu Faou, die de nieuwe dreigersgroep ontdekte. “Deze adversary-in-the-middle techniek komt alleen voor bij een paar geselecteerde organisaties, misschien alleen ambassades, niet in het hele land. Het AitM-scenario doet ons denken aan de Turla- en StrongPity-dreigingsactoren, die op ISP-niveau on the fly software-installers hebben getrojaniseerd.”
“Hoewel de compromittering van routers om AitM-aanvallen uit te voeren op ambassadenetwerken niet volledig kan worden uitgesloten, suggereert de aanwezigheid van legale onderscheppingsmogelijkheden in Wit-Rusland dat de verkeersmanipulatie op ISP-niveau gebeurt in plaats van op de routers van de doelwitten”, legt de ESET-onderzoeker uit.
Sinds 2014 zijn de malwarefamilies die door MoustachedBouncer worden gebruikt geëvolueerd. Een grote verandering vond plaats in 2020, toen de groep adversary-in-the-middle-aanvallen begon te gebruiken. MoustachedBouncer gebruikt de twee implantaatfamilies parallel, maar op een bepaalde machine wordt er slechts één tegelijk ingezet. ESET denkt dat Disco wordt gebruikt in combinatie met AitM-aanvallen, terwijl NightClub wordt gebruikt voor slachtoffers waarbij het onderscheppen van verkeer op ISP-niveau niet mogelijk is. Dit is niet mogelijk vanwege een mitigatie, zoals het gebruik van een end-to-end versleuteld VPN, waarbij internetverkeer buiten Wit-Rusland wordt omgeleid.
“De belangrijkste conclusie is dat organisaties in het buitenland, waar het internet niet vertrouwd kan worden, voor al hun internetverkeer een end-to-end versleutelde VPN-tunnel naar een vertrouwde locatie moeten gebruiken om eventuele netwerkinspecties te omzeilen. Ze moeten ook bijgewerkte computerbeveiligingssoftware van topkwaliteit gebruiken,” adviseert Faou.
Het NightClub- implantaat gebruikt gratis e-maildiensten, namelijk de Tsjechische webmaildienst Seznam.cz en de Russische Mail.ru webmail provider, om gegevens te exfiltreren. ESET denkt dat de aanvallers hun eigen e-mailaccounts hebben aangemaakt, in plaats van legitieme accounts te compromitteren.
De dreigingsgroep richt zich op het stelen van bestanden en het monitoren van schijven, inclusief externe schijven. Tot de mogelijkheden van NightClub behoren ook het opnemen van geluid, het maken van schermafbeeldingen en het vastleggen van toetsaanslagen.
