MoustachedBouncer, il gruppo di spionaggio specializzato in ambasciate

Con capacità di manipolare il traffico a livello ISP, attacca diplomatici in Bielorussia.

ESET Research mette in guardia sulle azioni del gruppo di ciberspionaggio MoustachedBouncer, operante in Bielorussia e allineato con gli interessi del governo.

Attivo almeno dal 2014, l’obiettivo sono le ambasciate straniere nel paese. Gli esperti di sicurezza hanno rilevato attacchi a Europa, uno all’Asia e un altro all’Africa. Dal 2022, MoustachedBouncer sfrutta attacchi AitM (adversary in the middle) a livello di ISP per reindirizzare verifiche di captive portal a un server di comando e controllo.

I responsabili utilizzano due tipi di strumenti indipendenti chiamati Disco e NightClub. Il primo interviene negli attacchi AitM mentre il secondo entra in gioco quando non è possibile l’intercettazione del traffico a livello ISP. NightClub si appoggia ai servizi e-mail come Seznam.cz e Mail.ru per sottrarre dati.

“Negli intervalli IP attaccati da MoustachedBouncer, il traffico di rete viene reindirizzato a una pagina di Windows Update apparentemente legittima ma che in realtà è falsa”, fa sapere Mathieu Faou, ricercatore di ISET e che ha scoperto la minaccia.

“Lo scenario di AitM ci ricorda altre fonti di minacce informatica come Turla e StrongPity, che hanno trojanizzato programmi di installazione software in campo ISP”, commenta. “Anche se l’utilizzo di router per effettuare attacchi AitM alle reti delle ambasciate non si può scartare come ipotesi, la presenza di capacità di intercettazione legale in Bielorussia suggerisce che la manipolazione del traffico avviene a livello di ISP invece che a livello di router”.

MoustachedBouncer monitora le unità disco e ruba file. Tra le sue capacità di spionaggio troviamo la possibilità effettuare screenshot, registrare audio e ricordare l’ordine di pressione dei tasti sulla tastiera.

I ricercatori credono che questi hacker stiano collaborando con il gruppo di spionaggio Winter Vivern, artefice di un attacco al personale governativo di paesi come Polonia e Ucraina.

“Le missioni in paesi stranieri devono sapere di non poter fare cieco affidamento su internet e devono utilizzare un tunnel VPN cifrato end-to-end a un posto sicuro per il proprio traffico internet al fine di eludere qualsiasi dispositivo di controllo di rete”, consiglia Faou. “Si dovrebbero poi utilizzare soluzioni di sicurezza informatiche aggiornate e di qualità”.