O grupo concentra-se no roubo de ficheiros e monitorização de discos, bem como gravação de áudio, captura de screenshots e registo de teclas premidas.
A ESET Research, braço de investigação da empresa europeia de cibersegurança ESET, descobriu um novo grupo de ciberespionagem, o MoustachedBouncer. O seu nome deve-se à sua presença na Bielorrússia e está alinhado com os interesses do governo local. Ativo desde pelo menos 2014, o grupo visa exclusivamente as embaixadas estrangeiras, incluindo as europeias, na Bielorrússia. Desde 2020, o MoustachedBouncer tem sido capaz de efetuar ataques adversary-in-the-middle (AitM) ao nível do ISP, na Bielorrússia, para comprometer os seus alvos. O grupo usa dois conjuntos de ferramentas que a ESET chamou de NightClub e Disco. A investigação foi apresentada durante a conferência Black Hat USA 2023 a 10 de agosto, pelo investigador da ESET Matthieu Faou.
De acordo com a telemetria da ESET, o grupo tem como alvo as embaixadas estrangeiras na Bielorrússia, e a ESET identificou quatro países cujos funcionários das embaixadas foram visados: dois da Europa, um do Sul da Ásia e um de África. A ESET estima que o MoustachedBouncer está muito provavelmente alinhado com os interesses da Bielorrússia e é especializado em espionagem, especificamente contra embaixadas estrangeiras na Bielorrússia. O MoustachedBouncer utiliza técnicas avançadas para comunicações de Comando e Controlo (C&C), incluindo a interceção de redes ao nível do ISP para o implante Disco, emails para o implante NightClub e DNS num dos plugins NightClub.
Embora a ESET Research monitorize o MoustachedBouncer como um grupo separado, encontrou elementos que fazem com que estime com baixa confiança que ele está a colaborar com outro grupo de ciberespionagem ativo, o Winter Vivern, que teve como alvo funcionários do governo de vários países europeus, incluindo a Polónia e a Ucrânia, em 2023. “Para comprometer os seus alvos, os operadores do MoustachedBouncer adulteram o acesso à Internet das suas vítimas, provavelmente ao nível do ISP, fazendo o Windows acreditar que está por detrás de um portal cativo. Para os intervalos de IP visados pelo MoustachedBouncer, o tráfego de rede é redirecionado para uma página aparentemente legítima, mas falsa, do Windows Update,” afirmou Matthieu Faou, investigador da ESET que descobriu o novo grupo de ciberespionagem. “Esta técnica de adversary-in-the-middle ocorre apenas contra algumas organizações selecionadas, talvez apenas embaixadas, e não em todo o país. O cenário do AitM lembra-nos os grupos cibercriminosos Turla e StrongPity, que instalaram software trojanizado em tempo real ao nível do ISP.”
“Embora não se possa descartar totalmente o comprometimento dos routers para realizar ataques AitM nas redes das embaixadas, a presença de capacidades de interceção legal na Bielorrússia sugere que a manipulação do tráfego está a acontecer ao nível do ISP e não nos routers dos alvos,” explica o investigador da ESET.
Desde 2014, as famílias de malware utilizadas pelo MoustachedBouncer evoluíram, e uma grande mudança ocorreu em 2020, quando o grupo começou a utilizar ataques adversary-in-the-middle. O MoustachedBouncer opera as duas famílias de implantes em paralelo, mas numa determinada máquina, apenas uma é implantada de cada vez. A ESET acredita que o Disco é usado em conjunto com ataques AitM, enquanto o NightClub é usado para vítimas em que a interceção de tráfego ao nível do ISP não é possível devido a uma mitigação, como a utilização de uma VPN encriptada em que o tráfego da Internet é encaminhado para fora da Bielorrússia.
“A principal conclusão é que as organizações em países estrangeiros onde a Internet não é de confiança devem utilizar um túnel VPN encriptado para um local de confiança para todo o seu tráfego de Internet, de modo a contornar quaisquer dispositivos de inspeção de rede. Devem também utilizar software de cibersegurança atualizado e de alta qualidade,” aconselha Faou.
O implante NightClub utiliza serviços de email gratuitos, nomeadamente o serviço de webmail checo Seznam.cz e o fornecedor de webmail russo Mail.ru, para roubar dados. A ESET acredita que os atacantes criaram as suas próprias contas de email, em vez de comprometerem contas legítimas. O MoustachedBouncer concentra-se no roubo de ficheiros e na monitorização de discos, incluindo os externos. As capacidades do NightClub também incluem a gravação de áudio, a captura de screenshots e o registo de teclas premidas. Para mais detalhes técnicos sobre o MoustachedBouncer, leia o artigo completo aqui.