Embaixadas estrangeiras na Bielo-Rússia foram alvo de um grupo de ciberespionagem que parece usar técnicas de adversário no meio (AitM) por meio de provedores de serviços de Internet (ISPs) no país, de acordo com um novo relatório da ESET.
Apelidado Segurança de bigodeo agente da ameaça existe desde pelo menos 2014 e aparentemente começou a usar ataques AimT em 2020. Acredita-se que o grupo esteja operando em nome do governo bielorrusso.
A ESET está ciente dos ataques contra as embaixadas bielorrussas de quatro países: dois na Europa, um na África e um no sul da Ásia.
Os pesquisadores da empresa de segurança identificaram vários malwares usados pelos ciberespiões, incluindo os chamados NightClub, Disco e SharpDisco. O malware e seus plug-ins permitem que os invasores monitorem arquivos e extraiam dados de sistemas comprometidos, incluindo arquivos, capturas de tela e gravações de áudio.
Acredita-se que pelo menos algumas dessas famílias de malware foram entregues usando ataques AitM no nível do ISP, com o tráfego de endereços IP direcionados sendo redirecionado para um site falso de atualização do Windows configurado para distribuir malware. A ESET nomeou dois ISPs bielorrussos que podem estar envolvidos na operação: Unitary Enterprise A1 e Beltelecom.
A empresa de segurança cibernética encontrou evidências sugerindo que o MoustachedBouncer está colaborando com um grupo ligado à Rússia chamado Winter Vivern, que tem como alvo entidades governamentais na Europa e na Ásia, incluindo membros da OTAN.
A empresa acredita que os agentes de ameaças patrocinados pelo estado da Bielorrússia estão usando um sistema de vigilância legal chamado Sistema de Medidas Operativas-Investigativas (SORM) para conduzir os ataques.
Os provedores de telecomunicações no país são obrigados por lei a garantir que seu hardware seja compatível com o sistema SORM, que dá às autoridades acesso direto às comunicações do usuário e dados associados sem a necessidade de notificar o provedor.
A ESET observou que não pode descartar completamente a possibilidade de que os ataques AitM tenham sido lançados usando roteadores comprometidos nas embaixadas visadas, mas esses recursos de interceptação legal tornam mais provável que os ataques estejam sendo conduzidos no nível do ISP.
“O principal argumento é que as organizações em países estrangeiros onde a Internet não é confiável devem usar um túnel VPN criptografado de ponta a ponta para um local confiável para todo o tráfego da Internet, a fim de contornar quaisquer dispositivos de inspeção de rede”, concluiu a ESET.
: