Khám phá cuộc khủng hoảng gián điệp mạng kéo dài nhiều năm tại các Đại sứ quán nước ngoài ở Belarus

- Nhóm tấn công APT MoustachedBouncer hoạt động tại Belarus kể từ năm 2014, đã thực hiện cuộc tấn công nhằm vào các Đại sứ quán nước ngoài.

Theo các chuyên gia bảo mật, MoustachedBouncer đã có thể thực hiện các cuộc tấn công adversary-in-themiddle (AitM) (tấn công đánh cắp thông tin) ở cấp ISP để xâm nhập vào nhiều mục tiêu trong phạm vi của Belarus.

Nhóm này được cho là có liên quan đến lợi ích của Belarus và có khả năng sử dụng hệ thống nghe lén hợp pháp như SORM để thực hiện các cuộc tấn công AitM, đồng thời triển khai các công cụ khác như NightClub và Disco. Hiện tại, vector lây nhiễm của NightClub chưa được làm rõ còn Disco lây nhiễm qua tấn công AitM.

Cả 2 framework mã độc Windows trên đều hỗ trợ các plugin gián điệp bổ sung bao gồm chức năng chụp ảnh màn hình, ghi âm, và đánh cắp tập tin. Mẫu cũ nhất của NightClub được phát hiện vào ngày 19/11/2014, khi được tải lên VirusTotal từ Ukraine.

Từ tháng 6/2017, có ít nhất 04 quốc gia có đại sứ quán được ghi nhận bị ảnh hưởng bởi chiến dịch tấn công của MoustachedBouncer. Nhóm này được cho là hợp tác cùng nhóm APT Winter Vivern (hay còn gọi là TA471/UAC-0114), đây là nhóm đã từng tấn công vào các quan chức chính phủ tại châu Âu và Hoa Kỳ.

Nhóm MoustachedBouncer tấn công mục tiêu bằng cách điều chỉnh truy cập Internet của nạn nhân ở cấp ISP để khiến Windows tin rằng thiết bị hiện đang nằm sau một Captive Portal. Đối với các dải IP bị tấn công, lưu lượng mạng bị sửa đổi tại tầng ISP và URL bị điều hướng tới một Window Update URL giả mạo.

Nhóm MoustachedBouncer tấn công bằng cách khiến nạn nhân truy cập vào trang web giả mạo, thúc đẩy cài đặt bảo mật qua một chương trình "Windows Update" tải xuống máy tính và cài đặt một nhiệm vụ tải xuống các plugin, mở rộng chức năng của Disco, bao gồm chụp ảnh màn hình, thực thi lệnh PowerShell, và cài đặt reverse proxy.

Điểm đáng chú ý của plugin là việc sử dụng giao thức Server Message Block (SMB) để thu thập và gửi dữ liệu về máy chủ điều khiển (C&C), không thể truy cập qua Internet, tạo tính bền bỉ cho hạ tầng tấn công.

Ngoài ra, trong chiến dịch tấn công vào tháng 01/2020 sử dụng dropper C# là SharpDisco để triển khai 02 plugin thông qua reverse shell, mục tiêu là liệt kê các ổ đĩa kết nối và trích xuất file.

NightClub framework còn sử dụng dropper để khởi động thành phần điều phối thu thập và gửi đi các tập tin mục tiêu bằng giao thức SMTP. Các phiên bản sau của NightClub, phát hiện vào năm 2017 và năm 2020, sử dụng keylogger, thu âm, chụp ảnh màn hình và cổng sau backdoor sử dụng DNS-tunneling.

Các nhà nghiên cứu bảo mật tin rằng NightClub được sử dụng trong trường hợp không thể chặn lưu lượng ở cấp ISP, như khi sử dụng VPN mã hóa đầu cuối để định tuyến lưu lượng mạng định tuyến ra ngoài Belarus.