Gli hacker bielorussi prendono di mira i diplomatici stranieri con l'aiuto degli ISP locali, affermano i ricercatori
Gli hacker con apparenti legami con il governo bielorusso hanno preso di mira i diplomatici stranieri nel paese per quasi 10 anni, secondo i ricercatori di sicurezza.
Giovedì, la società di antivirus ESET ha pubblicato un rapporto che descrive in dettaglio le attività di un gruppo di hacking governativo appena scoperto che la società ha soprannominato MoustachedBouncer.
Il gruppo ha probabilmente hackerato o almeno preso di mira i diplomatici intercettando le loro connessioni a livello di provider di servizi Internet (ISP), suggerendo una stretta collaborazione con il governo bielorusso, secondo ESET.
Dal 2014, MoustachedBouncer ha preso di mira almeno quattro ambasciate straniere in Bielorussia: due nazioni europee, una dell'Asia meridionale e un'altra dell'Africa.
"Gli operatori sono stati addestrati a trovare alcuni documenti riservati, ma non siamo sicuri di cosa stessero cercando", ha detto il ricercatore ESET Matthieu Faou a TechCrunch in un'intervista prima del suo discorso alla conferenza sulla sicurezza informatica Black Hat a Las Vegas.
“Stanno operando solo all'interno della Bielorussia contro diplomatici stranieri.
Quindi non abbiamo mai visto alcun attacco di MoustachedBouncer al di fuori della Bielorussia".
ESET ha affermato di aver rilevato per la prima volta MoustachedBouncer nel febbraio 2022, giorni dopo che la Russia ha invaso l'Ucraina, con un attacco informatico contro specifici diplomatici nell'ambasciata di un paese europeo "in qualche modo coinvolto nella guerra", ha detto Faou, rifiutando di nominare il paese.
Manomettendo il traffico di rete, il gruppo di hacker è in grado di ingannare il sistema operativo Windows del bersaglio facendogli credere di essere connesso a una rete con un captive portal.
L'obiettivo viene quindi reindirizzato a un sito falso e dannoso mascherato da Windows Update, che avverte l'obiettivo che ci sono "aggiornamenti critici per la sicurezza del sistema che devono essere installati", secondo il rapporto.
Non è chiaro come MoustachedBouncer possa intercettare e modificare il traffico – una tecnica nota come avversario nel mezzo o AitM – ma i ricercatori ESET ritengono che sia perché gli ISP bielorussi stanno collaborando con gli attacchi, consentendo agli hacker di utilizzare un sistema di intercettazione legale simile a quello schierato dalla Russia, noto come SORM.
L'esistenza di questo sistema di sorveglianza è nota da anni.
In Bielorussia, tutti i fornitori di telecomunicazioni "devono rendere il proprio hardware compatibile con il sistema SORM", secondo un rapporto di Amnesty International del 2016.
Una volta che i ricercatori di ESET hanno individuato l'attacco lo scorso febbraio e analizzato il malware utilizzato, sono stati in grado di scoprire altri attacchi – il più vecchio risale al 2014 – anche se non vi è traccia di essi tra il 2014 e il 2018, secondo Faou.
“Sono rimasti nascosti per molto tempo.
E quindi significa che hanno un discreto successo se sono stati in grado di compromettere obiettivi di alto profilo come i diplomatici, mentre nessuno ne ha davvero parlato e ci sono stati pochissimi campioni di malware disponibili per l'analisi ", ha affermato.
"Dimostra che sono abbastanza attenti quando eseguono le operazioni".
Hai informazioni su questo gruppo di hacker? O altre minacce persistenti avanzate (APT)? Ci piacerebbe sentirti.
Da un dispositivo non funzionante, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Signal al numero +1 917 257 1382, o tramite Telegram e Wire @lorenzofb, o e-mail lorenzo@techcrunch.com.
Puoi anche contattare TechCrunch tramite SecureDrop.