Sicherheitsforschern zufolge haben Hacker mit offensichtlichen Verbindungen zur belarussischen Regierung seit fast zehn Jahren ausländische Diplomaten im Land im Visier.
Am Donnerstag hat das Antivirenunternehmen ESET einen Bericht veröffentlicht Darin werden die Aktivitäten einer neu entdeckten Hackergruppe der Regierung beschrieben, die das Unternehmen MoustachedBouncer getauft hat. Laut ESET hat die Gruppe wahrscheinlich Diplomaten gehackt oder zumindest ins Visier genommen, indem sie ihre Verbindungen auf der Ebene des Internetdienstanbieters (ISP) abgefangen hat, was auf eine enge Zusammenarbeit mit der belarussischen Regierung schließen lässt.
Seit 2014 hat MoustachedBouncer mindestens vier ausländische Botschaften in Weißrussland ins Visier genommen: zwei europäische Nationen, eines aus Südasien und eines aus Afrika.
„Die Bediener wurden darin geschult, einige vertrauliche Dokumente zu finden, aber wir wissen nicht genau, wonach sie gesucht haben“, sagte ESET-Forscher Matthieu Faou gegenüber Tech in einem Interview vor seinem Vortrag auf der Cybersicherheitskonferenz Black Hat in Las Vegas. „Sie operieren nur innerhalb von Belarus gegen ausländische Diplomaten. Daher haben wir außerhalb von Weißrussland noch nie einen Angriff von MustachedBouncer gesehen.“
ESET gab an, MoustachedBouncer erstmals im Februar 2022 entdeckt zu haben, Tage nach dem Einmarsch Russlands in die Ukraine, bei einem Cyberangriff auf bestimmte Diplomaten in der Botschaft eines europäischen Landes, das „irgendwie in den Krieg verwickelt“ sei, sagte Faou und lehnte es ab, den Namen des Landes zu nennen.
Durch Manipulation des Netzwerkverkehrs ist die Hackergruppe in der Lage, das Windows-Betriebssystem des Ziels so zu täuschen, dass es glaubt, es sei mit einem Netzwerk mit einem Captive-Portal verbunden. Das Ziel wird dann auf eine gefälschte und bösartige Website umgeleitet, die als Windows Update getarnt ist und das Ziel warnt, dass „kritische Systemsicherheitsupdates installiert werden müssen“, so der Bericht.
Es ist nicht klar, wie MoustachedBouncer den Datenverkehr abfangen und verändern kann – eine Technik, die als „Adversary-in-the-Middle“ bekannt ist AitM – aber ESET-Forscher glauben, dass der Grund dafür darin liegt, dass belarussische ISPs an den Angriffen mitwirken, wodurch die Hacker ein rechtmäßiges Abfangsystem nutzen können, ähnlich dem, das Russland einsetzt, bekannt als SORM.
Die Existenz dieses Überwachungssystems ist seit Jahren bekannt. In Weißrussland müssen alle Telekommunikationsanbieter „ihre Hardware mit dem SORM-System kompatibel machen“. laut einem Bericht von Amnesty International aus dem Jahr 2016.
Nachdem ESET-Forscher den Angriff im vergangenen Februar entdeckten und die verwendete Malware analysierten, konnten sie weitere Angriffe entdecken – der älteste stammt aus dem Jahr 2014 – obwohl es laut Faou zwischen 2014 und 2018 keine Spur von ihnen gibt.
„Sie blieben lange Zeit unter dem Radar. Das bedeutet also, dass sie recht erfolgreich sind, wenn sie in der Lage sind, hochrangige Ziele wie Diplomaten zu kompromittieren, während niemand wirklich über sie spricht und nur sehr wenige Malware-Beispiele für die Analyse verfügbar sind“, sagte er. „Das zeigt, dass sie bei den Operationen sehr vorsichtig sind.“
Haben Sie Informationen über diese Hackergruppe? Oder andere Advanced Persistent Threats (APTs)? Wir würden uns freuen, von Ihnen zu hören. Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.