Grupo de ciberespionagem coloca diplomatas europeus na Bielorrúsia como alvo

A Eset Research descobriu um novo grupo de ciberespionagem, o MoustachedBouncer. O seu nome deve-se à sua presença na Bielorrússia e está alinhado com os interesses do governo local. Ativo desde pelo menos 2014, o grupo visa exclusivamente as embaixadas estrangeiras, incluindo as europeias, na Bielorrússia.

Desde 2020, o MoustachedBouncer tem sido capaz de efetuar ataques adversary-in-the-middle (AitM) ao nível do ISP, na Bielorrússia, para comprometer os seus alvos. O grupo usa dois conjuntos de ferramentas que a EsetT chamou de NightClub e Disco. A investigação foi apresentada durante a conferência Black Hat USA 2023 a 10 de agosto, pelo investigador da Eset Matthieu Faou.

De acordo com a telemetria da Eset, o grupo tem como alvo as embaixadas estrangeiras na Bielorrússia, e a Eset identificou quatro países cujos funcionários das embaixadas foram visados: dois da Europa, um do Sul da Ásia e um de África. A Eset estima que o MoustachedBouncer está muito provavelmente alinhado com os interesses da Bielorrússia e é especializado em espionagem, especificamente contra embaixadas estrangeiras na Bielorrússia. O MoustachedBouncer utiliza técnicas avançadas para comunicações de Comando e Controlo (C&C), incluindo a interceção de redes ao nível do ISP para o implante Disco, emails para o implante NightClub e DNS num dos plugins NightClub.

Embora a Eset Research monitorize o MoustachedBouncer como um grupo separado, encontrou elementos que fazem com que estime com baixa confiança que ele está a colaborar com outro grupo de ciberespionagem ativo, o Winter Vivern, que teve como alvo funcionários do governo de vários países europeus, incluindo a Polónia e a Ucrânia, em 2023.

“Para comprometer os seus alvos, os operadores do MoustachedBouncer adulteram o acesso à Internet das suas vítimas, provavelmente ao nível do ISP, fazendo o Windows acreditar que está por detrás de um portal cativo. Para os intervalos de IP visados pelo MoustachedBouncer, o tráfego de rede é redirecionado para uma página aparentemente legítima, mas falsa, do Windows Update”, afirmou Matthieu Faou, investigador da Eset que descobriu o novo grupo de ciberespionagem. “Esta técnica de adversary-in-the-middle ocorre apenas contra algumas organizações selecionadas, talvez apenas embaixadas, e não em todo o país. O cenário do AitM lembra-nos os grupos cibercriminosos Turla e StrongPity, que instalaram software trojanizado em tempo real ao nível do ISP”.

“Embora não se possa descartar totalmente o comprometimento dos routers para realizar ataques AitM nas redes das embaixadas, a presença de capacidades de interceção legal na Bielorrússia sugere que a manipulação do tráfego está a acontecer ao nível do ISP e não nos routers dos alvos”, explica o investigador da Eset.

Desde 2014, as famílias de malware utilizadas pelo MoustachedBouncer evoluíram, e uma grande mudança ocorreu em 2020, quando o grupo começou a utilizar ataques adversary-in-the-middle. O MoustachedBouncer opera as duas famílias em paralelo, mas numa determinada máquina, apenas uma é implementada de cada vez. A Eset acredita que o Disco é usado em conjunto com ataques AitM, enquanto o NightClub é usado para vítimas em que a interceção de tráfego ao nível do ISP não é possível devido a uma mitigação, como a utilização de uma VPN encriptada em que o tráfego da Internet é encaminhado para fora da Bielorrússia.

O NightClub utiliza serviços de email gratuitos, nomeadamente o serviço de webmail checo Seznam.cz e o fornecedor de webmail russo Mail.ru, para roubar dados. A Eset acredita que os atacantes criaram as suas próprias contas de email, em vez de comprometerem contas legítimas. O MoustachedBouncer concentra-se no roubo de ficheiros e na monitorização de discos, incluindo os externos. As capacidades do NightClub também incluem a gravação de áudio, a captura de screenshots e o registo de teclas premidas.