Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET Research identifie des attaques ciblant des diplomates européens en Biélorussie

août 2023 par ESET

ESET Research a découvert un nouveau groupe de cyberespionnage : MoustachedBouncer. Il est nommé ainsi d’après son origine présumée, sa présence en Biélorussie et sont alignement avec les intérêts du gouvernement local. Actif depuis au moins 2014, le groupe ne cible que les ambassades étrangères, y compris européennes, en Biélorussie. Depuis 2020, MoustachedBouncer a très probablement été en mesure d’effectuer des attaques AitM par l’intémédiaire des Fournisseurs d’Accès à Internet (FAI), en Biélorussie, afin de compromettre ses cibles. Le groupe utilise deux jeux d’outils distincts qu’ESET a nommés NightClub et Disco. La recherche a été présentée en exclusivité lors de la conférence Black Hat USA 2023 le 10 août 2023 par Matthieu Faou, chercheur chez ESET.

Selon la télémétrie d’ESET, le groupe cible les ambassades étrangères en Biélorussie, et ESET a identifié quatre pays dont le personnel de l’ambassade a été ciblé : deux d’Europe, un d’Asie du Sud et un d’Afrique. ESET estime que MoustachedBouncer est très probablement aligné sur les intérêts de la Biélorussie et se concentre sur des activités d’espionnage, en particulier contre les ambassades étrangères en Biélorussie. MoustachedBouncer utilise des techniques avancées pour organiser les communications entre le serveur de commande et contrôle (C&C) et les implants : l’interception réseau au niveau des FAI pour l’implant Disco, les e-mails pour l’implant NightClub et le DNS dans l’un des plugins NightClub.

Pour compromettre leurs cibles, les opérateurs de MoustachedBouncer trafiquent l’accès Internet de leurs victimes, probablement au niveau du FAI, pour faire croire à Windows qu’il se trouve derrière un portail captif.

« Pour les plages IP ciblées par MoustachedBouncer, le trafic réseau est redirigé vers une page Windows Update apparemment légitime, mais fausse », explique Matthieu Faou, chercheur ESET, qui a découvert ce groupe d’attaquants. « Cette technique de l’adversaire du milieu ne se produit que contre quelques organisations sélectionnées, peut-être juste des ambassades, mais pas à l’échelle du pays. Ce scénario AitM nous rappelle les acteurs de la menace Turla et StrongPity, qui ont recours à des installateurs de logiciels comprenant des chevaux de Troyes et distribués à la volée au niveau des FAI. »

« Bien que la compromission des routeurs, afin de mener des attaques AitM, sur les réseaux des ambassades ne puisse pas être complètement écartée, la présence de capacités d’interception légales en Biélorussie suggère que l’interception se produit au niveau des FAI plutôt que sur les routeurs des cibles », explique le chercheur d’ESET.

Depuis 2014, les familles de logiciels malveillants utilisées par MoustachedBouncer ont évolué, et un grand changement s’est produit en 2020, lorsque le groupe a commencé à utiliser des attaques dites de l’adversaires du milieu. MoustachedBouncer exploite les deux familles d’implants en parallèle, mais sur une machine donnée, un seul est déployé à la fois. ESET estime que Disco est utilisé conjointement avec les attaques AitM, tandis que NightClub est utilisé pour les victimes où l’interception du trafic au niveau du FAI n’est pas possible en raison de solutions de protection telle que l’utilisation d’un VPN (le trafic Internet est acheminé en dehors de la Biélorussie).

« La principale conclusion est que les organisations qui se situent dans des pays étrangers où l’on ne peut pas faire confiance à Internet devraient utiliser un tunnel VPN pour l’intégralité de leur trafic Internet afin de contourner tout dispositif d’inspection réseau. Ils devraient également respecter les règles de l’art de la protection des systèmes d’information, tels que recommandés par NIST, ISO ou les instances nationales comme l’ANSSI. », conseille Benoit Grunemwald, Expert Cybersécurité chez ESET France.

L’implant NightClub utilise des services de messagerie gratuits, à savoir le service de messagerie Web tchèque Seznam.cz et le fournisseur de messagerie Web russe Mail.ru, pour exfiltrer les données. ESET pense que les attaquants ont créé leurs propres comptes de messagerie, au lieu de compromettre les comptes légitimes.

Le groupe APT se concentre sur le vol de fichiers et la surveillance des supports de données, y compris externes. Les capacités de NightClub incluent également l’enregistrement audio, la prise de captures d’écran et l’enregistrement des frappes de clavier.

ESET Research considère MoustachedBouncer comme est un groupe distinct. Nous avons également trouvé des éléments qui nous permettent d’évaluer avec un faible niveau de confiance qu’il collabore avec un autre groupe d’espionnage actif, Winter Vivern, qui a ciblé le personnel gouvernemental de plusieurs pays européens, dont la Pologne et l’Ukraine, en 2023.


Voir les articles précédents

    

Voir les articles suivants