Inicio / Noticias / Tecnología / Espionaje a diplomáticos extranjeros en Bielorrusia

Espionaje a diplomáticos extranjeros en Bielorrusia

Cyber criminal wearing a white mask while testing government system. Cyber hacker.

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un ataque del grupo de ciberespionaje “MoustachedBouncer”. El mismo tiene de blanco a las embajadas extranjeras en Bielorrusia, y se identificó que el personal de embajadas de cuatro países fueron atacados: dos de Europa, uno del sur de Asia y uno de África. 

Para comprometer a sus blancos, los operadores de MoustachedBouncer manipulan el acceso a internet de sus víctimas, probablemente a nivel del ISP, para hacerle creer a  Windows que está detrás de un portal cautivo. La página falsa de Windows Update se mostrará a la potencial víctima cuando se conecte a la red.

Una vez que logran ingresar a los dispositivos de sus objetivos pueden tomar capturas de pantalla, grabar audio y robar información. Para esto aprovechan protocolos de comandos y control basados en email, backdoors modulares en C++ y ataques de adversary-in-the-middle (AitM). El grupo usa dos sets de herramientas que ESET denomino NightClub y Disco.

Desde ESET se observó que el texto está en ruso porque es el idioma principal en Bielorrusia, pero probablemente existan versiones en otros idiomas. La página indica que hay actualizaciones críticas del sistema de seguridad que necesitan ser instaladas. 

Un punto importante es que la técnica de AitM solo ocurre contra un par de organizaciones seleccionadas (tal vez, solo embajadas), y no en todo el país. No es posible reproducir la redirección desde una dirección de IP aleatoria en Bielorrusia.

“MoustachedBouncer es un hábil actor de amenazas dirigido a diplomáticos extranjeros en Bielorrusia. Utiliza técnicas bastante avanzadas para las comunicaciones de C&C, incluyendo la interceptación de redes a nivel de ISP para el implante Disco, correos electrónicos para el implante NightClub y DNS en uno de los plugins NightClub.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Se puede identificar que utiliza HTTP no encriptado, y no HTTPS, y que el subdominio updates.microsoft[.]com no existe entre los nombres de servidores de Microsoft, por lo que no resuelve en la internet abierta. Durante el ataque, este dominio resolvió en  5.45.121[.]106 en la máquina del blanco de ataque. Esta dirección IP es usada para aparcar dominios y no está relacionada con Microsoft. Aunque es una dirección IP enrutable a internet, el tráfico de esta IP nunca alcanza la internet durante el ataque AitM. Ambos, la resolución DNS y las respuestas HTTP, fueron injectadas en el tránsito, probablemente a nivel del ISP.