2014’ten beri aktif olduğu belirtilen grup, Belarus’taki Avrupalılar dahil olmak üzere yalnızca yabancı büyük elçilikleri hedefliyor. 2020’den beri MoustachedBouncer, hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebiliyor. Grup, ESET’in NightClub ve Disco olarak adlandırdığı iki ayrı araç seti kullanıyor.
ESET telemetrisine göre, grup Belarus’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika’da olmak üzere elçilik personelinin hedef alındığı dört ülke belirlendi. ESET, MoustachedBouncer’ın ve büyük olasılıkla Belarus’un çıkarlarının ortak olduğunu, özellikle Belarus’taki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaştığını belirtiyor. MoustachedBouncer, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) iletişimleri için gelişmiş teknikler kullanıyor.
Seçilmiş hedeflere yönelik kullanılıyor
ESET Research, MoustachedBouncer’ı ayrı bir grup olarak takip ederken; grubun 2023 yılında Polonya ve Ukrayna dahil olmak üzere birçok Avrupa ülkesinin hükumet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığına dair -ESET tarafından zayıf olarak değerlendirilen- unsurlar bulundu. MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimine muhtemelen ISP seviyesinde müdahale ederek Windows’u bir tutsak portalın arkasında olduğuna inandırıyor. Yeni tehdit grubunu keşfeden ESET araştırmacısı Matthieu Faou, şunları söyledi:
“MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği görünüşte meşru ancak sahte bir Windows Update sayfasına yönlendiriliyor. Bu ortadaki düşman tekniği, tüm ülke genelinde değil ama belki de sadece büyükelçilikler gibi seçilmiş bazı kuruluşlara karşı kullanılıyor. Ortadaki düşman senaryosu, bize ISP seviyesinde yazılım indirenlere, indirme sırasında truva atı gönderen tehdit grubu olan Turla ve StrongPity’yi hatırlatıyor.”
Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydedebiliyor
ESET Araştırmacısı, “Elçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin ele geçirilmesi ihtimali göz ardı edilemezken, Belarus’ta yasal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP düzeyinde gerçekleştiğini gösteriyor,” şeklinde durumu açıkladı.
2014’ten bu yana MoustachedBouncer tarafından kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020’de grubun ortadaki düşman saldırılarını kullanmaya başlamasıyla büyük bir değişiklik oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir makinede aynı anda yalnızca bir tanesi yerleştiriliyor. ESET, Disco’nun AitM saldırılarıyla bağlantılı olarak kullanıldığına inanırken NightClub, internet trafiğinin Belarus’un dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir azaltma nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılır.
Faou şöyle dedi:
“Buradan alınması gereken mesaj, İnternetin güvenilir olmadığı yabancı ülkelerdeki kuruluşların, herhangi bir ağ inceleme cihazını atlatmak için tüm İnternet trafiklerinde güvenilir bir konuma yönlendiren uçtan uca şifreli bir VPN tüneli kullanmaları gerektiğidir. Aynı zamanda yüksek kaliteli, güncel bilgisayar güvenliği yazılımı kullanmaları da gerekir.”
NightClub implantı, verileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanıyor. ESET, saldırganların yasal e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor. Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydetmek yer alıyor.
Kaynak : 