ESET Research heeft een nieuwe cyberspionagegroep ontdekt. Het is MoustachedBouncer. De groep is vernoemd naar zijn aanwezigheid in Wit-Rusland en is afgestemd op de belangen van de lokale overheid. De groep is al minstens sinds 2014 actief. Ze richt zich alleen op buitenlandse ambassades, waaronder Europese, in Wit-Rusland.
Gegevens manipuleren
Sinds 2020 is de cyberspionagegroep waarschijnlijk in staat om adversary-in-the-middle (AitM)-aanvallen uit te voeren op ISP-niveau, binnen Wit-Rusland, om zijn doelwitten te compromitteren. AitM-aanvallen uitgevoerd op ISP-niveau verwijzen naar een situatie waarin een kwaadwillende partij (adversary) zich tussen een internetgebruiker en hun Internet Service Provider (ISP) plaatst om communicatie of gegevens te manipuleren. De groep gebruikt twee afzonderlijke toolsets die ESET de namen NightClub en Disco heeft gegeven.
Vier ambassades doelwit
Volgens telemetrie van ESET richt de cyberspionagegroep zich op buitenlandse ambassades in Wit-Rusland. ESET heeft vier landen geïdentificeerd waarvan het ambassadepersoneel het doelwit is. Twee uit Europa, één uit Zuid-Azië en één uit Afrika. ESET schat in dat MoustachedBouncer zeer waarschijnlijk is afgestemd op Wit-Russische belangen en is gespecialiseerd in spionage, specifiek tegen buitenlandse ambassades in Wit-Rusland.
MoustachedBouncer maakt gebruik van geavanceerde technieken voor Command and Control (C&C) communicatie, vertaald naar het Nederlands als ‘Bevel en Controle’-communicatie dat verwijst naar het proces waarbij een externe entiteit of kwaadwillende partij intructies en controle uitoefent over geinfecteerde computers, netwerken of apparaten. Deze communicatie is inclusief netwerkinterceptie op ISP-niveau voor het Disco-implantaat, e-mails voor het NightClub-implantaat en Domain Name System (DNS) in een van de NightClub plugins.
Samenwerking met andere groepen
Hoewel ESET Research de cyberspionagegroep volgt als een afzonderlijke groep, hebben we elementen gevonden die ESET met een laag vertrouwen laten inschatten dat het samenwerkt met een andere actieve spionagegroep, Winter Vivern. Zij hebben in 2023 overheidsmedewerkers van verschillende Europese landen, waaronder Polen en Oekraïne, als doelwit gekozen.
Evolutie
Sinds 2014 zijn de malwarefamilies die door MoustachedBouncer worden gebruikt geëvolueerd. Een grote verandering vond plaats in 2020, toen de groep adversary-in-the-middle-aanvallen begon te gebruiken. MoustachedBouncer gebruikt de twee implantaatfamilies parallel, maar op een bepaalde machine wordt er slechts één tegelijk ingezet. ESET denkt dat Disco wordt gebruikt in combinatie met AitM-aanvallen, terwijl NightClub wordt gebruikt voor slachtoffers waarbij het onderscheppen van verkeer op ISP-niveau niet mogelijk is. Dit is niet mogelijk vanwege een mitigatie, zoals het gebruik van een end-to-end versleuteld VPN, waarbij internetverkeer buiten Wit-Rusland wordt omgeleid.
Het NightClub- implantaat gebruikt gratis e-maildiensten, namelijk de Tsjechische webmaildienst Seznam.cz en de Russische Mail.ru webmail provider, om gegevens te exfiltreren. ESET denkt dat de aanvallers hun eigen e-mailaccounts hebben aangemaakt, in plaats van legitieme accounts te compromitteren.
Geluidsopnames
De dreigingsgroep richt zich op het stelen van bestanden en het monitoren van schijven, inclusief externe schijven. Tot de mogelijkheden van NightClub behoren ook het opnemen van geluid, het maken van schermafbeeldingen en het vastleggen van toetsaanslagen.
