Titre: Diplomates européens ciblés par MoustachedBouncer en Biélorussie via la falsification du réseau au niveau du FAI – découverte d’ESET REsearch (10/08/2023 Par cda)
● MoustachedBouncer, un groupe de menace récemment découvert par des chercheurs d'ESET, espionne les ambassades, dont les européennes, en Biélorussie. Il est fort probablement aligné sur les intérêts de ce pays.
● Le groupe était déjà actif avant 2014 et depuis 2020 il utilise la technique de l'adversaire au milieu (AitM) pour rediriger les vérifications du portail captif vers un serveur de commande et de contrôle (C&C) pour diffuser des logiciels espions.
● ESET pense que MoustachedBouncer utilise un "système légal d'interception" pour mener ses opérations AitM.
● Depuis 2014, le groupe exploite un framework de maliciels nommé NightClub par ESET. Il utilise des protocoles de messagerie pour les communications C&C. En parallèle, il utilise depuis 2020 un deuxième framework de malware nommé Disco.
● NightClub et Disco supportent des plug-ins d'espionnage supplémentaires, notamment un capteur d'écran, un enregistreur audio et un voleur de fichiers.

BRATISLAVA, le 10 août 2023 — ESET Research a découvert un nouveau groupe de cyber-espionnage, MoustachedBouncer. Il a été nommé ainsi suite à sa présence en Biélorussie et est aligné sur les intérêts du gouvernement local. Actif depuis au moins 2014, il cible uniquement les ambassades étrangères, y compris européennes, en Biélorussie. Depuis 2020, MoustachedBouncer a fort probablement effectué des attaques d'adversaire au milieu (AitM) au niveau du FAI, en Biélorussie, afin de compromettre ses cibles. Le groupe utilise deux ensembles d'outils distincts qu’ ESET a nommé NightClub et Disco. La recherche a sera présentée en exclusivité à la conférence Black Hat USA 2023 ce 10 août par Matthieu Faou, chercheur chez ESET.

Selon la télémétrie ESET, le groupe cible les ambassades étrangères en Biélorussie. ESET a identifié quatre pays dont le personnel d’ambassade a été ciblé : deux d’Europe, un d'Asie du Sud et un d'Afrique. ESET estime que MoustachedBouncer est très probablement aligné sur les intérêts biélorusses et est spécialisé dans l'espionnage, en particulier des ambassades étrangères en Biélorussie. MoustachedBouncer utilise des techniques avancées pour les communications Command and Control (C&C), y compris l'interception du réseau au niveau du FAI pour l'implant Disco, les e-mails pour l'implant NightClub et le DNS dans l'un des plugins NightClub.

Alors qu'ESET Research suit MoustachedBouncer en tant que groupe distinct, des éléments ont été découverts qui peuvent faire penser qu'il collabore avec Winter Vivern, un autre groupe actif en espionnage. En 2023, celui-ci a ciblé le personnel gouvernemental de plusieurs pays européens, dont la Pologne et l'Ukraine.
Pour compromettre leurs cibles, les opérateurs de MoustachedBouncer falsifient l'accès Internet de leurs victimes, probablement au niveau du FAI, faisant croire à Windows qu'il se cache derrière un portail captif. Pour les adresses IP ciblées par MoustachedBouncer, le trafic réseau est redirigé vers une fausse page Windows Update d’apparence légitime », explique Matthieu Faou, le chercheur d’ESET qui a découvert ce nouveau groupe. "Cette technique d'adversaire du milieu n’est utilisée que contre quelques organisations sélectionnées, probablement uniquement des ambassades, et pas dans tout le pays. Le scénario AitM nous rappelle les acteurs de la menace Turla et StrongPity, qui ont trojanisé à la volée des installateurs de logiciels au niveau du FAI. »

"Bien que la compromission des routeurs afin de mener des attaques AitM sur les réseaux des ambassades ne puisse être totalement écartée, la présence, en Biélorussie, de capacités d'interception légitimes suggère que la manipulation du trafic se produit au niveau du FAI plutôt que sur les routeurs des cibles", explique le chercheur d’ESET.

Depuis 2014, les familles de maliciels utilisées par MoustachedBouncer ont évolué. Un grand changement s'est produit en 2020, lorsque le groupe a commencé à utiliser des attaques d'adversaire du milieu. MoustachedBouncer exploite les deux familles d'implants en parallèle, mais une seule n’est déployée que sur une machine à la fois. ESET pense que Disco est utilisée avec les attaques AitM, tandis que NightClub est utilisée pour les victimes là où l'interception du trafic au niveau du FAI n'est pas possible suite à une atténuation telle que l'utilisation d'un VPN crypté de bout en bout où le trafic Internet est envoyé en dehors de la Biélorussie.

« L’important à savoir c’est que les organisations situées dans des pays où Internet n'est pas fiable doivent utiliser un tunnel VPN crypté de bout en bout vers un endroit de confiance pour tout leur trafic Internet afin de contourner tout dispositif d'inspection du réseau. Elles doivent également utiliser un logiciel de sécurité informatique de haute qualité et mis à jour », conseille Faou.

L'implant NightClub utilise des messageries gratuites : le service Web tchèque Seznam.cz et le fournisseur de Web russe Mail.ru, pour exfiltrer les données. ESET pense que les attaquants ont créé leurs propres comptes de messagerie, au lieu de compromettre des comptes légitimes.

Le groupe de menaces se concentre sur le vol de fichiers et la surveillance des lecteurs, y compris les lecteurs externes. Les capacités de NightClub incluent également l'enregistrement audio, la capture d'écran et l'enregistrement de frappes.
Pour plus d'informations techniques sur MoustachedBouncer, consultez le blog «MoustachedBouncer: Espionage against foreign diplomats in Belarus » sur WeLiveSecurity. Suivez ESET Research sur Twitter (X) pour les dernières nouvelles d'ESET Research.
Retour