Fehéroroszország állami szintre emelte a hackelést

A kormányhoz kötődő hackerek a helyi internetszolgáltatók segítségével támadják az országban dolgozó külföldi diplomatákat.

Az ESET vírusirtó cég friss jelentése részletesen bemutatja egy újonnan felfedezett fehérorosz kormányzati hackercsoport tevékenységét, amelyet a cég MoustachedBouncer-nek nevezett el. Az ESET szerint a csoport valószínűleg az internetszolgáltatónál lévő kapcsolatainak segítségével működött, vagy legalábbis célzottan diplomatákat támadott meg, ami a fehérorosz kormánnyal való szoros együttműködésre utal. 2014 óta a MoustachedBouncer legalább négy külföldi nagykövetséget vett célba Fehéroroszországban: két európai nemzetet, egy dél-ázsiai és egy afrikai országot.

"Ezeket a szakembereket arra képezték ki, hogy bizalmas dokumentumokat találjanak, de nem vagyunk biztosak benne, hogy pontosan mit kerestek" - mondta Matthieu Faou, az ESET kutatója. "Csak Fehéroroszországon belül tevékenykednek külföldi diplomaták ellen, tehát még soha nem láttunk a MoustachedBouncer által Fehéroroszországon kívülről indított támadást." A biztonsági cég először 2022 februárjában észlelte a MoustachedBouncert, napokkal azután, hogy Oroszország megszállta Ukrajnát, egy "valamilyen módon a háborúban érintett" európai ország nagykövetségén lévő konkrét diplomaták elleni kibertámadással - mondta Faou, aki nem kívánta megnevezni az országot.

A hálózati forgalom megzavarásával a hackercsoport képes becsapni a célpont Windows operációs rendszerét, hogy azt higgye a rendes hálózathoz kapcsolódik. A célpontot ezután egy Windows Update-nek álcázott hamis és rosszindulatú webhelyre irányítják át, amely a jelentés szerint figyelmezteti a célpontot, hogy "kritikus rendszerbiztonsági frissítések vannak, amelyeket telepíteni kell".

Nem világos, hogy a MoustachedBouncer hogyan tudja elfogni és módosítani a forgalmat - ez az úgynevezett adversary-in-the-middle (AitM) technika -, de az ESET kutatói szerint azért, mert a fehérorosz internetszolgáltatók együttműködnek a támadásokban, lehetővé téve a hackerek számára, hogy az Oroszország által alkalmazott, SORM néven ismert törvényes elfogási rendszerhez hasonlót használjanak. Ennek a megfigyelőrendszernek a létezése már évek óta ismert. Fehéroroszországban az Amnesty International 2016-os jelentése szerint minden távközlési szolgáltatónak "kompatibilissé kell tennie a hardverét a SORM rendszerrel".

Miután az ESET kutatói tavaly februárban megtalálták a támadást, és elemezték a felhasznált kártevőt, Faou szerint további támadásokat is fel tudtak fedezni - a legrégebbi 2014-ből származik. "Sokáig a radar alatt maradtak. Ez azt jelenti, hogy meglehetősen sikeresek, ha képesek voltak olyan magasan jegyzett célpontokat kompromittálni, mint például diplomaták, miközben senki sem beszélt róluk igazán, és nagyon kevés kártevőminta állt rendelkezésre az elemzéshez" - mondta. "Ez azt mutatja, hogy meglehetősen óvatosak a műveletek végrehajtása során".