Spis treści
Według ekspertów ESET zdemaskowana grupa koncentruje się na instalowaniu oprogramowania szpiegującego, kradzieży plików i monitorowaniu dysków, w tym zewnętrznych. Jej narzędzia są w stanie również nagrywać dźwięk, robić zrzuty ekranu i rejestrować naciśnięcia klawiszy. Może być też powiązana z inną grupą Winter Vivern, która za cel obrała także polskich dyplomatów. O całej sprawie poinformował badacz firmy ESET, Matthieu Faou, podczas konferencji Black Hat USA 2023, zorganizowanej wczoraj 10 sierpnia.
W taki sposób cyberprzestępcy atakują bazy danych dyplomatów
Od 2020 r. MoustachedBouncer najprawdopodobniej przeprowadza na terenie Białorusi ataki typu adversary-in-the-middle (AitM). To typ ataku MITM („człowiek pośrodku”). Polega on na umieszczeniu serwera pomiędzy celem ataku a stroną internetową i przechwytywaniu w ten sposób danych lub instalowaniu oprogramowania szpiegującego. Grupa wykorzystuje w tym celu infrastrukturę dostawcy usług sieciowych. Używa dwóch oddzielnych zestawów narzędzi z zakresu złośliwego oprogramowania, które ESET nazwał NightClub i Disco.
Dane telemetryczne potwierdziły, że ataki dotyczą placówek na Białorusi
O tym, że grupa atakuje zagraniczne ambasady na terenie Białorusi, specjaliści zorientowali się po analizie danych
telemetrycznych. Jak dotychczas przestępcy zaatakowali personel placówek dyplomatycznych czterech krajów: dwóch z Europy, jednego z Azji Południowej i jednego z Afryki. Według specjalistów ESET działania MoustachedBouncer są najprawdopodobniej zgodne z interesami Białorusi, a grupa specjalizuje się w szpiegostwie.
Cyberprzestępcy wykorzystują zaawansowane techniki do tzw. komunikacji C&C (ang. Command and Control, pol. Dowodzenia i Kontroli), w tym przechwytywanie ruchu sieciowego na poziomie dostawcy usług internetowych. Zagrożone są wiadomości e-mail i protokół DNS.
Przestępcy tych dwóch groźnych grup mogą działać wspólnie
Choć badanie identyfikuje MoustachedBouncer jako oddzielną grupę, eksperci wykryli także elementy, które mogą świadczyć o tym, że współpracuje ona z inną aktywną grupą szpiegowską, Winter Vivern, która zaatakowała w 2023 r. pracowników rządowych kilku państw europejskich, w tym Polski i Ukrainy. Badacze ESET podkreślają jednak, że dowody na to powiązanie nie są pewne.
Strefa Biznesu: Uwaga na chińskie platformy zakupowe
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
