Χάκερ της Λευκορωσίας στοχεύουν ξένους διπλωμάτες με τη βοήθεια τοπικών ISP, λένε ερευνητές
Χάκερ με προφανείς δεσμούς με την κυβέρνηση της Λευκορωσίας στοχεύουν ξένους διπλωμάτες στη χώρα εδώ και σχεδόν 10 χρόνια, σύμφωνα με ερευνητές ασφαλείας.
Την Πέμπτη, η εταιρεία προστασίας από ιούς
ESET
δημοσίευσε έκθεση
που περιγράφει λεπτομερώς τις δραστηριότητες μιας πρόσφατα ανακαλυφθείσας κυβερνητικής ομάδας χάκερ που η εταιρεία έχει ονομάσει MoustachedBouncer. Η ομάδα πιθανότατα χακάρει ή τουλάχιστον στοχεύει διπλωμάτες παρεμποδίζοντας τις συνδέσεις τους σε επίπεδο παρόχου υπηρεσιών Διαδικτύου (ISP), υποδηλώνοντας στενή συνεργασία με την κυβέρνηση της Λευκορωσίας, σύμφωνα με την ESET.
Από το 2014, το MoustachedBouncer έχει βάλει στο στόχαστρο τουλάχιστον τέσσερις ξένες πρεσβείες στη Λευκορωσία: δύο ευρωπαϊκές χώρες, ένα από τη Νότια Ασία και ένα άλλο από την Αφρική.
«Οι χειριστές εκπαιδεύτηκαν να βρίσκουν ορισμένα απόρρητα έγγραφα, αλλά δεν είμαστε σίγουροι τι ακριβώς έψαχναν», είπε ο ερευνητής της ESET Matthieu Faou στο TechCrunch σε συνέντευξή του πριν από την ομιλία του στο συνέδριο για την ασφάλεια στον κυβερνοχώρο Black Hat στο Λας Βέγκας. «Επιχειρούν μόνο εντός της Λευκορωσίας εναντίον ξένων διπλωματών. Έτσι, δεν έχουμε δει ποτέ επίθεση από τον MustachedBouncer εκτός Λευκορωσίας».
Η ESET είπε ότι εντόπισε για πρώτη φορά το MoustachedBouncer τον Φεβρουάριο του 2022, μέρες μετά την εισβολή της Ρωσίας στην Ουκρανία, με μια κυβερνοεπίθεση εναντίον συγκεκριμένων διπλωματών στην πρεσβεία μιας ευρωπαϊκής χώρας «κάπως εμπλεκόμενη στον πόλεμο», είπε ο Φάου, αρνούμενος να κατονομάσει τη χώρα.
Παραβιάζοντας την κυκλοφορία του δικτύου, η ομάδα
hacking
μπορεί να ξεγελάσει το λειτουργικό σύστημα
Windows
του στόχου ώστε να πιστέψει ότι είναι συνδεδεμένο σε ένα δίκτυο με μια πύλη δέσμευσης. Στη συνέχεια, ο στόχος ανακατευθύνεται σε έναν ψεύτικο και κακόβουλο ιστότοπο που μεταμφιέζεται ως Windows
Update
, το οποίο προειδοποιεί τον στόχο ότι υπάρχουν «κρίσιμες ενημερώσεις ασφαλείας συστήματος που πρέπει να εγκατασταθούν», σύμφωνα με την αναφορά.
Δεν είναι ξεκάθαρο πώς το MoustachedBouncer μπορεί να υποκλέψει και να τροποποιήσει την κυκλοφορία — μια τεχνική γνωστή ως αντίπαλος στη μέση ή
AitM
— αλλά οι ερευνητές της ESET πιστεύουν ότι αυτό οφείλεται στο ότι οι Λευκορώσοι ISP συνεργάζονται με τις επιθέσεις, επιτρέποντας στους χάκερ να χρησιμοποιήσουν ένα νόμιμο σύστημα παρακολούθησης παρόμοιο με αυτό που αναπτύσσει η Ρωσία, γνωστό ως SORM.
Η ύπαρξη αυτού του συστήματος παρακολούθησης είναι γνωστή εδώ και χρόνια. Στη Λευκορωσία, όλοι οι πάροχοι τηλεπικοινωνιών «πρέπει να κάνουν το υλικό τους συμβατό με το σύστημα SORM».
σύμφωνα με έκθεση της Διεθνούς Αμνηστίας του 2016
.
Μόλις οι ερευνητές της ESET ανακάλυψαν την επίθεση τον περασμένο Φεβρουάριο και ανέλυσαν το κακόβουλο λογισμικό που χρησιμοποιήθηκε, κατάφεραν να ανακαλύψουν άλλες επιθέσεις – οι παλαιότερες που χρονολογούνται από το 2014 – αν και δεν υπάρχει κανένα ίχνος τους μεταξύ 2014 και 2018, σύμφωνα με τον Faou.
«Έμειναν κάτω από τα ραντάρ για πολύ καιρό. Και έτσι σημαίνει ότι είναι αρκετά επιτυχημένοι εάν ήταν σε θέση να συμβιβάσουν στόχους υψηλού προφίλ, όπως διπλωμάτες, ενώ κανείς δεν μίλησε πραγματικά γι ‘αυτούς και υπήρξαν πολύ λίγα δείγματα κακόβουλου λογισμικού διαθέσιμα για ανάλυση», είπε. «Δείχνει ότι είναι πολύ προσεκτικοί όταν κάνουν τις επεμβάσεις».
Έχετε πληροφορίες για αυτήν την ομάδα hacking; Ή άλλες προηγμένες επίμονες απειλές (APT); Θα θέλαμε να ακούσουμε νέα σας. Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω
Telegram
and Wire @lorenzofb ή email στο
Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.
