MoustachedBouncer Hacker’lar Elçiliklerde Casusluk Yaparken Yakalandı

   Ağustos 11, 2023  Posted in HackRead


  • Belaruslu MoustachedBouncer bilgisayar korsanlığı grubu, yabancı elçiliklerde devlet destekli casusluk yaptığı ifşa edildi.
  • ESET Research, Güney Asya, Afrika ve Avrupa’daki diplomatları hedef alan yıllarca süren bir kampanyayı ortaya koyuyor.
  • Bilgisayar korsanları, C++ arka kapıları ve ISP düzeyindeki saldırılar dahil olmak üzere çeşitli teknikler kullanır.
  • MoustachedBouncer, kurbanların internet erişimini kurcalayarak Windows’u sahte tutsak portallarla kandırdı.
  • Araştırmacılar, bu karmaşık casusluğa karşı gelişmiş güvenlik için şifreli VPN’leri önermektedir.

ESET Research’ün siber güvenlik araştırmacılarına göre, Belarus hükümeti MoustachedBouncer bilgisayar korsanlığı grubu aracılığıyla yıllardır ülkedeki yabancı diplomatları gözetliyordu.

Araştırma, Güney Asya’dan en az bir, Afrika’dan bir ve Avrupa’dan iki büyükelçiliğin 2014’ten beri aktif olan devlet destekli bir casusluk kampanyasının hedefi olduğunu doğruladı.

Bilgisayar korsanları, C++ modüler arka kapılar, ortadaki düşman saldırıları ve e-posta tabanlı C&C protokolleri dahil olmak üzere çok çeşitli saldırı teknikleri kullandı ve casusluk için ülke içinden ISP düzeyinde saldırılar gerçekleştirdi.

ESET’in raporunda, “MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için, kurbanlarının internet erişimini muhtemelen ISP düzeyinde kurcalayarak Windows’u bunun bir tutsak portalın arkasında olduğuna inandırıyor” yazıyordu.

Bilginiz olsun diye söylüyorum, ortadaki düşman saldırıları SORM gibi ‘yasal dinleme’ casusluk altyapısına dayanır. Rusya’da ve diğer birçok ülkede, ISP tesislerinde güvenlik servisleri tarafından konuşlandırılır.

Kampanya 2014’ten Beri Aktif

Casusluk faaliyetinin 2014 yılında başlaması, bunun ilk kez ifşa edilmesi düşünüldüğünde şaşırtıcıdır. Grup, 2014’ten bu yana ağ müdahalesi sağlamak için çok sayıda kötü amaçlı yazılım ailesi kullandı.

Başlangıçta MoustachedBouncer, e-posta protokolleri (SMTP ve MAP) tabanlı kötü amaçlı yazılım çerçeveleri kullandı ve daha sonra dosyaları çalabilen, ekran görüntüleri alabilen ve konuşmaları kaydedebilen damlalıklara geçti.

Devlet Tarafından Desteklenen Hackerlar

Araştırmacılar, MoustachedBouncer’ın Belarus hükümetinden tam destek aldığından ve muhtemelen diğer bilgisayar korsanlığı gruplarıyla bağları olduğundan şüpheleniyor. Bu görüş, MoustachedBouncer’ın oldukça aktif başka bir bilgisayar korsanlığı grubu olan Winter Vivern ile yakın ilişkisi olduğu gerçeğiyle güçleniyor.

Winter Vivern grubu 2021’de keşfedildi ve Avrupalı ​​diplomatları hedef almasıyla biliniyor. Saldırı teknikleri, StrongPity ve Turla adlı iki farklı tehdit aktörüyle yankılanıyor. Her ikisi de ISP düzeyinde yazılım yükleyicilerini truva atı haline getirdi.

Saldırı Taktik Analizi

Kötü amaçlı yazılım araştırmacısı Matthieu Faou tarafından yazılan ESET raporuna göre, bilgisayar korsanları gerçek görünen ancak sahte Windows Update URL’leri görüntülemek için hedeflerinin trafiğiyle oynadı. Bu sayfa onlara acilen yüklemeleri gereken kritik sistem güvenlik güncellemelerini vaat ediyordu.

MoustachedBouncer Hacker'lar Elçiliklerde Casusluk Yaparken Yakalandı
Sahte Windows güncelleme web sitesi ve Microsoft Edge tarayıcısındaki sahte Windows güncellemesi, MoustachedBouncer saldırısının bir parçasıdır. (Ekran görüntüsü: ESET)

ESET telemetrisine göre bu sayfa, kötü amaçlı yürütülebilir dosyayı içeren sahte bir güncelleme dosyası gönderdi ve Beltelecom ve Unitary Enterprise A1 dahil olmak üzere iki yerel ISP ağı bu kampanyaya katkıda bulundu.

Faou, “Beyaz Rusya’daki yabancı kuruluşların, ideal olarak bant dışı (yani uç noktadan değil) uçtan uca şifreli bir VPN tüneli kullanmasını ve güvenilir bir ağdan internet bağlantısı sağlamasını şiddetle tavsiye ediyoruz” diye yazdı.

Haziran 2017’den bu yana ikisi Avrupa’dan, biri Kuzeydoğu Afrika’dan ve biri Güney Asya’dan olmak üzere dört ülkeden diplomatın MoustachedBouncer tarafından hedef alındığına dair kanıtlar var. İki Avrupalı ​​diplomattan biri Kasım 2020 ile Temmuz 2022 arasında iki kez hedef alındı.

MoustachedBouncer Hacker'lar Elçiliklerde Casusluk Yaparken Yakalandı
MoustachedBouncer’ın kötü amaçlı etkinliklerinin zaman çizelgesi (Ekran Görüntüsü: ESET)

MoustachedBouncer Hakkında

Daha önce belgesiz olan bu siber casusluk grubu, yalnızca Beyaz Rusya’daki yabancı büyükelçilikleri hedefliyor ve büyük olasılıkla 2020’den beri ISP düzeyinde ortadaki düşman saldırıları gerçekleştiriyor. Bu bilgisayar korsanlığı grubu, NightClub ve Disco araç setlerini kullanmayı tercih ediyor ve bunları bu kampanyada da kullandı.

Araştırmacılar, MoustachedBouncer’ı bağımsız bir grup olarak belgelediler, ancak Winter Vivern ile işbirliği içinde çalıştığına inanıyorlar. 2021’de keşfedildi. Proofpoint, grubun Avrupa ülkelerinden diplomatların web posta kimlik bilgilerini çalmak için Zimbra posta portalının XSS güvenlik açığını kullandığını bildirdi.

  1. Clipper Kötü Amaçlı Yazılımını Dağıtan Sahte Tor Tarayıcı Yükleyicileri
  2. Sahte Windows Güncellemelerinde Big Head Fidye Yazılımı Bulundu
  3. SmugX: Çinli Bilgisayar Korsanları Avrupa’daki Büyükelçilikleri Hedefliyor
  4. Truva atı haline getirilmiş TeamViewer ile elçilikleri hedefleyen bilgisayar korsanları
  5. Siber Partizanlar fidye yazılımıyla Beyaz Rusya demiryolu sistemini vurdu



Source link