ESET Research advierte sobre las acciones del grupo de ciberespionaje MoustachedBouncer, que opera en Bielorrusia alineado con los intereses del gobierno.
Activo desde al menos 2014, su objetivo son las embajadas extranjeras en el país. Los expertos en seguridad han identificado dos ataques a Europa, uno a Asia y otro a África. Desde el año 2020 MoustachedBouncer utiliza ataques AitM (adversary-in-the-middle) a nivel de ISP para redirigir comprobaciones de portal cautivo a un servidor de mando y control.
Sus responsables emplean dos conjuntos de herramientas independientes bautizadas como Disco y NightClub por ESET. El primero interviene en los ataques AitM, mientras que el segundo entra en juego cuando no es posible la interceptación de tráfico a nivel de ISP. NightClub se apoya en servicios de correo electrónico como Seznam.cz y Mail.ru para filtrar datos.
“En los rangos de IP atacados por MoustachedBouncer, el tráfico de red se redirige a una página de Windows Update aparentemente legítima pero que, en realidad, es falsa”, detalla Matthieu Faou, el investigador de ESET que descubrió esta amenaza.
“El escenario de AitM nos recuerda a los actores de amenazas Turla y StrongPity, que han troyanizado instaladores de software sobre la marcha a nivel de ISP”, apunta. “Si bien el compromiso de los routers para llevar a cabo ataques AitM en redes de embajadas no se puede descartar por completo, la presencia de capacidades de interceptación legal en Bielorrusia sugiere que la manipulación del tráfico está ocurriendo a nivel de ISP en lugar de en los routers de los objetivos”.
MoustachedBouncer monitoriza unidades de disco y roba archivos. Entre sus capacidades de espionake se incluyen las capturas de pantalla, la grabación de audio y el registro de pulsaciones en el teclado.
Los investigadores sospechan que estos atacantes podrían estar colaborando con el grupo de espionaje Winter Vivern, que ha atacado a personal gubernamental de países como Polonia y Ucrania.
“Las organizaciones en países extranjeros donde no se puede confiar en internet deben utilizar un túnel VPN cifrado de extremo a extremo a una ubicación de confianza para todo su tráfico de Iiternet con el fin de eludir cualquier dispositivo de inspección de red”, aconseja Faou. “También deberían utilizar soluciones de seguridad informática actualizadas y de alta calidad”.
Páginas web similares a las de la Agencia Tributaria, emails y SMS de phishing y…
Desde ARBENTIA explican cómo la Inteligencia artificial está transformando la Gestión Contable.
La compañía española especializada en reclutamiento tecnológico anuncia también la captación de más de medio…
Lanza el servicio Webex Calling, que reemplaza los sistemas de telefonía empresarial convencionales y las…
Sus ingresos del primer trimestre rozaron los 600 millones de dólares, mientras que los beneficios…
Ha llegado a acuerdos con las Administraciones para invertir alrededor de 187 millones de dólares…