Словацкая компания ESET раскрыла подробности по слежке за посольствами в Минске.
Словацкая компания ESET Research выявила и описала деятельность группы по кибершпионажу, которая атаковала иностранные посольства в Беларуси. Группировка получила название MoustachedBouncer («усатый вышибала»). Отчет ESET Research опубликовала в своем блоге.
По данным исследователей, хакерская группа действует минимум с 2014 года и нацелена исключительно на посольства иностранных гопсударств в Беларуси.
По меньшей мере с 2020 года MoustachedBouncer выполняла так называемые AitM-атаки (adversary-in-the-middle), когда хакер внедряется между пользователем и конечным адресатом. Как утверждают эксперты, такое возможно лишь на уровне локального интернет-провайдера и свидетельствует о том, что нападающий использует легальную систему перехвата трафика (СОРМ).
В отчете говорится, что выявленные факты говорят о работе хакеров в интересах режима в Минске. Исследователям удалось установить цели атак – это посольства двух европейских стран, одной страны из Южной Азии и одной из Африки.
В общих чертах механизм проникновения выглядел так: на уровне интернет-провайдера подменялся сайт, с которого пользовательская Windows скачивает обновления и при обновлении системы внедряется вредоносный код. Он позволяет в том числе делать скриншоты экрана, записывать аудио и скачивать файлы.
В отчете говорится, что исследователям удалось выявить AitM-атаки в сетях А1 и «Белтелеком». Они настоятельно рекомендуют иностранным организациям в Беларуси использовать VPN-туннель со сквозным шифрованием, в идеале внеполосный (т. е. не от конечной точки), обеспечивающий подключение к Интернету из доверенной сети.
Хронология деятельности MoustachedBouncer
В ESET Research считают, что выявленная ими хакерская группа может также сотрудничать с группировкой Winter Vivern. В марте 2023 года Winter Vivern использовала известную XSS-уязвимость в почтовом портале Zimbra, чтобы украсть учетные данные веб-почты дипломатов нескольких европейских стран.
Отметим, в Беларуси все интернет-провайдеры обязаны сотрудничать со спецслужбами, в том числе устанавливать элементы системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ). Это позволяет спецслужбам получить доступ к трафику провайдера без его непосредственного участия.