Cyberbezpieczeństwo
Dyplomaci na celowniku Białorusi. Hakerzy atakują od prawie dekady
Hakerzy powiązani z białoruskim rządem od prawie dziesięciu lat atakują dyplomatów na misjach w kraju Alaksandra Łukaszenki. Pomagają im w tym operatorzy telekomunikacyjni działający na Białorusi.
Zagraniczni dyplomaci przebywający na misji na Białorusi są celem hakerów powiązanych z rządem Łukaszenki od niemal 10 lat - wynika z najnowszego raportu firmy ESET zajmującej się cyberbezpieczeństwem.
Jej specjaliści wykryli nową grupę cyberprzestępczą - MoustachedBouncer, która ewidentnie działa na zlecenie reżimu białoruskiego dyktatora. Jej głównym celem są dyplomaci przebywający na Białorusi.
Co interesuje hakerów Łukaszenki?
Grupa MoustachedBouncer od 2014 r. zajmuje się atakowaniem, jak i podsłuchiwaniem komunikacji dyplomatów na poziomie dostawców usług łączności z internetem i usług telekomunikacyjnych.
Zdaniem ESET-u, wskazuje to jasno na jej powiązania z rządem .
Wiadomo, że na celowniku hakerów Łukaszenki znalazły się ambasady czterech państw: dwóch z Europy, a także jednego z Azji Południowej i jednego z Afryki.
Celem działań jest zdobycie poufnych dokumentów, jednak jak podkreślił w rozmowie z serwisem TechCrunch specjalista ESET Matthieu Faou, nie jest dokładnie jasne, o jakie dane chodzi cyberprzestępcom. „Działają tylko na Białorusi i tylko przeciwko zagranicznym dyplomatom. Nigdy nie widzieliśmy żadnego cyberataku MoustachedBouncer poza granicami tego kraju" - dodał ekspert.
Widoczna aktywność
Grupa została wykryta przez ESET krótko po inwazji Władimira Putina na Ukrainę w lutym 2022 r. Wówczas to MoustachedBouncer dopuścił się cyberataku na ambasadę jednego z europejskich państw „w pewien sposób zaangażowanych w wojnę" - przekazał serwisowi badacz firmy, który podkreślił też, że nie zdradzi nazwy tego kraju. Celem były konkretne osoby wśród dyplomatów.
Ataki grupy bazują na „oszukiwaniu" systemu Windows zainstalowanego na stacji roboczej ofiary w taki sposób, by był on przekonany, że łączy się z siecią, która po nawiązaniu połączenia pokazuje użytkownikom ekran powitalny wymagający zalogowania na profil. Następnie, ofiara jest przekierowywana do złośliwej, kontrolowanej przez hakerów strony udającej witrynę Windows Update, która straszy, że konieczne jest zainstalowanie krytycznie istotnych aktualizacji bezpieczeństwa.
Jak działa MoustachedBouncer?
MoustachedBouncer potrafi przechwytywać jak i modyfikować ruch sieciowy. Eksperci ESET podkreślają, że to możliwe najprawdopodobniej dzięki współpracy hakerów z dostawcami usług łączności z internetem, która pozwala na korzystanie z systemu do przechwytywania połączeń podobnego do rosyjskiego SORM.
Najstarsze ataki grupy można datować na 2014 rok, jednak - jak podkreśla firma ESET - przez okres czterech lat do 2018 r. cyberprzestępcy wydawali się być nieaktywni i nie wykryto w tym okresie żadnych śladów ich działalności.
Grupa zostawia po sobie bardzo mało śladów, niewielka jest też liczba próbek złośliwego oprogramowania do analizy. Oznacza to, jak twierdzi ESET, że hakerzy Łukaszenki działają bardzo skutecznie, wobec czego należy zachować szczególną ostrożność.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*
