«Усатый вышибала» шпионил за дипломатами в Беларуси через СОРМ

Словацкая компания ESET Research выявила и описала деятельность группы по кибершпионажу, которая атаковала иностранные посольства в Беларуси. Группировка получила название MoustachedBouncer («усатый вышибала»). Отчет ESET Research опубликовала в своем блоге.

По данным исследователей, хакерская группа действует минимум с 2014 года и нацелена исключительно на посольства иностранных государств в Беларуси.

По меньшей мере с 2020 года MoustachedBouncer выполняла так называемые AitM-атаки (adversary-in-the-middle), когда хакер внедряется между пользователем и конечным адресатом. Как утверждают эксперты, такое возможно лишь на уровне локального интернет-провайдера и свидетельствует о том, что нападающий использует легальную систему перехвата трафика (СОРМ).

В отчете говорится, что выявленные факты говорят о работе хакеров в интересах режима в Минске. Исследователям удалось установить цели атак — это посольства двух европейских стран, одной страны из Южной Азии и одной из Африки.

В общих чертах механизм проникновения выглядел так: на уровне интернет-провайдера подменялся сайт, с которого пользовательская Windows скачивает обновления, и при обновлении системы внедряется вредоносный код. Он позволяет в том числе делать скриншоты экрана, записывать аудио и скачивать файлы.

В отчете говорится, что исследователям удалось выявить AitM-атаки в сетях А1 и «Белтелеком». Они настоятельно рекомендуют иностранным организациям в Беларуси использовать VPN-туннель со сквозным шифрованием, в идеале внеполосный (т. е. не от конечной точки), обеспечивающий подключение к Интернету из доверенной сети.

В ESET Research считают, что выявленная ими хакерская группа может также сотрудничать с группировкой Winter Vivern. В марте 2023 года Winter Vivern использовала известную XSS-уязвимость в почтовом портале Zimbra, чтобы украсть учетные данные веб-почты дипломатов нескольких европейских стран.

Отметим, в Беларуси все интернет-провайдеры обязаны сотрудничать со спецслужбами, в том числе устанавливать элементы системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ). Это позволяет спецслужбам получить доступ к трафику провайдера без его непосредственного участия.