MoustachedBouncer, el grupo de espionaje que se ha especializado en embajadas
Con capacidad para manipular tráfico a nivel de ISP, ataca a diplomáticos que se encuentran en Bielorrusia.
ESET Research advierte sobre las acciones del grupo de ciberespionaje MoustachedBouncer, que opera en Bielorrusia alineado con los intereses del gobierno.
Activo desde al menos 2014, su objetivo son las embajadas extranjeras en el país. Los expertos en seguridad han identificado dos ataques a Europa, uno a Asia y otro a África. Desde el año 2020 MoustachedBouncer utiliza ataques AitM (adversary-in-the-middle) a nivel de ISP para redirigir comprobaciones de portal cautivo a un servidor de mando y control.
Sus responsables emplean dos conjuntos de herramientas independientes bautizadas como Disco y NightClub por ESET. El primero interviene en los ataques AitM, mientras que el segundo entra en juego cuando no es posible la interceptación de tráfico a nivel de ISP. NightClub se apoya en servicios de correo electrónico como Seznam.cz y Mail.ru para filtrar datos.
“En los rangos de IP atacados por MoustachedBouncer, el tráfico de red se redirige a una página de Windows Update aparentemente legítima pero que, en realidad, es falsa”, detalla Matthieu Faou, el investigador de ESET que descubrió esta amenaza.
“El escenario de AitM nos recuerda a los actores de amenazas Turla y StrongPity, que han troyanizado instaladores de software sobre la marcha a nivel de ISP”, apunta. “Si bien el compromiso de los routers para llevar a cabo ataques AitM en redes de embajadas no se puede descartar por completo, la presencia de capacidades de interceptación legal en Bielorrusia sugiere que la manipulación del tráfico está ocurriendo a nivel de ISP en lugar de en los routers de los objetivos”.
MoustachedBouncer monitoriza unidades de disco y roba archivos. Entre sus capacidades de espionake se incluyen las capturas de pantalla, la grabación de audio y el registro de pulsaciones en el teclado.
Los investigadores sospechan que estos atacantes podrían estar colaborando con el grupo de espionaje Winter Vivern, que ha atacado a personal gubernamental de países como Polonia y Ucrania.
“Las organizaciones en países extranjeros donde no se puede confiar en internet deben utilizar un túnel VPN cifrado de extremo a extremo a una ubicación de confianza para todo su tráfico de Iiternet con el fin de eludir cualquier dispositivo de inspección de red”, aconseja Faou. “También deberían utilizar soluciones de seguridad informática actualizadas y de alta calidad”.