קבוצת ריגול סייבר חדשה תוקפת דיפלומטים בבלארוס
מחלקת המחקר של חברת אבטחת המידע ESET חושפת קבוצת ריגול סייבר חדשה, המכונה MoustachedBouncer
ישראל דיפנס
| 14/08/2023
Photo: REUTERS/Kacper Pempel/Illustration
מחלקת המחקר של חברת אבטחת המידע ESET חושפת קבוצת ריגול סייבר חדשה, המכונה MoustachedBouncer. הקבוצה זכתה לשם בעקבות הנוכחות שלה בבלארוס, והיא מתואמת עם האינטרסים של הממשלה המקומית. הקבוצה, שפעילה החל מ-2014 לפחות, מכוונת את מתקפותיה אך ורק לשגרירויות זרות, ביניהן שגרירויות אירופאיות, בבלארוס.
ככל הנראה, החל מ-2020 השיגה את היכולת לביצוע מתקפות ״גורם זדוני בתווך״ (AitM) ברמת ספק שירותי האינטרנט, בתוך בלארוס, כדי לפגוע במטרותיה. הקבוצה משתמשת בשני מערכי כלים נפרדים, אותם ESET מכנה בשמות NightClub ו-Disco.
על פי הנתונים, הקבוצה מכוונת את מתקפותיה לשגרירויות זרות בבלארוס, ו-ESET זיהתה ארבע מדינות שצוות השגרירות שלהן הותקף – שתיים מאירופה, אחת מדרום אסיה ואחת מאפריקה. ESET מעריכה בסבירות גבוהה שקבוצת MoustachedBouncer מתואמת עם האינטרסים הבלארוסיים ומתמחה בריגול, בייחוד מול שגרירויות זרות בבלארוס.
קבוצת MoustachedBouncer משתמשת בטכניקות מתקדמות לתקשורת שליטה ובקרה (C&C), ביניהן יירוט רשת ברמת ספק שירותי האינטרנט (כחלק ממסגרת העבודה באמצעות Disco), תקשורת דוא״ל (כחלק ממסגרת העבודה באמצעות NightClub) ו-DNS (כחלק מאחד התוספים למסגרת העבודה באמצעות NightClub).
כדי לפגוע במטרותיהם, המפעילים של MoustachedBouncer מתערבים בגישה לאינטרנט של קורבנותיהם, ככל הנראה ברמת ספק שירותי האינטרנט, כדי לגרום למערכת ההפעלה Windows להאמין שהיא נמצאת מאחורי פורטל גישה (Captive Portal).
״עבור טווחי כתובות ה-אייפי שסומנו כמטרה ע״י MoustachedBouncer, תעבורת הרשת מופנית לדף Windows Update מזויף שנראה לגיטימי״, מציין מתיו פאו, החוקר שחשף את קבוצת התקיפה החדשה. ״טכניקת ה״גורם זדוני בתווך״ הזו מופעלת רק מול ארגונים נבחרים, ככל הנראה שגרירויות בלבד, אך לא בכל רחבי המדינה. תרחיש ה-AitM מזכיר לנו את קבוצות התקיפה Turla ו-StrongPity, ששתלו סוסים טרויאנים בתוכנות התקנה ברמת ספק שירותי האינטרנט״.
״אמנם אי אפשר לשלול לחלוטין את האפשרות לפיה נתבי רשת הם אלו שנפרצו כדי לאפשר את מתקפות ה-AitM על רשתות השגרירויות, נוכחות של יכולות יירוט על פי חוק בבלארוס עשויה להצביע על כך שההתערבות בתעבורה מתרחשת ברמת ספק שירותי האינטרנט ולא בנתבי הרשת של המטרות״, מסביר החוקר.
החל ב-2014, משפחות הנוזקות בהן השתמשה קבוצת MoustachedBouncer התפתחו, ושינוי גדול התרחש ב-2020, שבה הקבוצה החלה להשתמש במתקפות ״גורם זדוני בתווך״. קבוצת MoustachedBouncer מפעילה את שתי משפחות הנוזקות במקביל, אך מפעילה רק אחת מהן על כל מכשיר נתון. ב-ESET מאמינים שמשפחת Disco מופעלת יחד עם מתקפות AitM, בעוד שמשפחת NightClub משמשת לתקיפת קורבנות עבורם אין אפשרות ליירוט תעבורה ברמת ספק שירותי האינטרנט בגלל כלי אבטחה כמו שימוש ברשתות VPN מוצפנות מקצה לקצה, שבהן תעבורת האינטרנט מנותבת מחוץ לבלארוס.
״המסקנה העיקרית הנובעת מהמחקר היא שארגונים הפועלים במדינות זרות, בהן אי אפשר לבטוח על תעבורת האינטרנט, נדרשים לגלוש באמצעות VPN ובצורה זו, התקשורת מוצפנת מקצה לקצה ומכוונת למיקום אמין את כל תעבורת האינטרנט שלהם, כדי להימנע ממכשירים ומחשבים הבוחנים את תעבורת האינטרנט. בנוסף, עליהם להשתמש בתוכנות אבטחה מעודכנות ברמה הגבוהה ביותר״, מייעץ פאו.
מחלקת המחקר של חברת אבטחת המידע ESET חושפת קבוצת ריגול סייבר חדשה, המכונה MoustachedBouncer
Photo: REUTERS/Kacper Pempel/Illustration
מחלקת המחקר של חברת אבטחת המידע ESET חושפת קבוצת ריגול סייבר חדשה, המכונה MoustachedBouncer. הקבוצה זכתה לשם בעקבות הנוכחות שלה בבלארוס, והיא מתואמת עם האינטרסים של הממשלה המקומית. הקבוצה, שפעילה החל מ-2014 לפחות, מכוונת את מתקפותיה אך ורק לשגרירויות זרות, ביניהן שגרירויות אירופאיות, בבלארוס.
ככל הנראה, החל מ-2020 השיגה את היכולת לביצוע מתקפות ״גורם זדוני בתווך״ (AitM) ברמת ספק שירותי האינטרנט, בתוך בלארוס, כדי לפגוע במטרותיה. הקבוצה משתמשת בשני מערכי כלים נפרדים, אותם ESET מכנה בשמות NightClub ו-Disco.
על פי הנתונים, הקבוצה מכוונת את מתקפותיה לשגרירויות זרות בבלארוס, ו-ESET זיהתה ארבע מדינות שצוות השגרירות שלהן הותקף – שתיים מאירופה, אחת מדרום אסיה ואחת מאפריקה. ESET מעריכה בסבירות גבוהה שקבוצת MoustachedBouncer מתואמת עם האינטרסים הבלארוסיים ומתמחה בריגול, בייחוד מול שגרירויות זרות בבלארוס.
קבוצת MoustachedBouncer משתמשת בטכניקות מתקדמות לתקשורת שליטה ובקרה (C&C), ביניהן יירוט רשת ברמת ספק שירותי האינטרנט (כחלק ממסגרת העבודה באמצעות Disco), תקשורת דוא״ל (כחלק ממסגרת העבודה באמצעות NightClub) ו-DNS (כחלק מאחד התוספים למסגרת העבודה באמצעות NightClub).
כדי לפגוע במטרותיהם, המפעילים של MoustachedBouncer מתערבים בגישה לאינטרנט של קורבנותיהם, ככל הנראה ברמת ספק שירותי האינטרנט, כדי לגרום למערכת ההפעלה Windows להאמין שהיא נמצאת מאחורי פורטל גישה (Captive Portal).
״עבור טווחי כתובות ה-אייפי שסומנו כמטרה ע״י MoustachedBouncer, תעבורת הרשת מופנית לדף Windows Update מזויף שנראה לגיטימי״, מציין מתיו פאו, החוקר שחשף את קבוצת התקיפה החדשה. ״טכניקת ה״גורם זדוני בתווך״ הזו מופעלת רק מול ארגונים נבחרים, ככל הנראה שגרירויות בלבד, אך לא בכל רחבי המדינה. תרחיש ה-AitM מזכיר לנו את קבוצות התקיפה Turla ו-StrongPity, ששתלו סוסים טרויאנים בתוכנות התקנה ברמת ספק שירותי האינטרנט״.
״אמנם אי אפשר לשלול לחלוטין את האפשרות לפיה נתבי רשת הם אלו שנפרצו כדי לאפשר את מתקפות ה-AitM על רשתות השגרירויות, נוכחות של יכולות יירוט על פי חוק בבלארוס עשויה להצביע על כך שההתערבות בתעבורה מתרחשת ברמת ספק שירותי האינטרנט ולא בנתבי הרשת של המטרות״, מסביר החוקר.
החל ב-2014, משפחות הנוזקות בהן השתמשה קבוצת MoustachedBouncer התפתחו, ושינוי גדול התרחש ב-2020, שבה הקבוצה החלה להשתמש במתקפות ״גורם זדוני בתווך״. קבוצת MoustachedBouncer מפעילה את שתי משפחות הנוזקות במקביל, אך מפעילה רק אחת מהן על כל מכשיר נתון. ב-ESET מאמינים שמשפחת Disco מופעלת יחד עם מתקפות AitM, בעוד שמשפחת NightClub משמשת לתקיפת קורבנות עבורם אין אפשרות ליירוט תעבורה ברמת ספק שירותי האינטרנט בגלל כלי אבטחה כמו שימוש ברשתות VPN מוצפנות מקצה לקצה, שבהן תעבורת האינטרנט מנותבת מחוץ לבלארוס.
״המסקנה העיקרית הנובעת מהמחקר היא שארגונים הפועלים במדינות זרות, בהן אי אפשר לבטוח על תעבורת האינטרנט, נדרשים לגלוש באמצעות VPN ובצורה זו, התקשורת מוצפנת מקצה לקצה ומכוונת למיקום אמין את כל תעבורת האינטרנט שלהם, כדי להימנע ממכשירים ומחשבים הבוחנים את תעבורת האינטרנט. בנוסף, עליהם להשתמש בתוכנות אבטחה מעודכנות ברמה הגבוהה ביותר״, מייעץ פאו.
