据安全研究人员称,近十年来,与白俄罗斯政府有明显联系的黑客一直以驻该国的外国外交官为目标。周四,杀毒软件公司ESET发布了一份报告,详细描述了一个新发现的政府黑客组织的活动,该公司将其称为MoustachedBouncer。
据 ESET称,该组织很可能一直在黑客攻击或至少以外交官为目标,在互联网服务提供商(ISP)层面拦截他们的连接,这表明该组织与白俄罗斯政府有密切的合作。
自2014年以来,MoustachedBouncer已瞄准了至少四个驻白俄罗斯的外国使馆:两个欧洲国家、一个南亚国家和另一个非洲国家。
ESET研究员马蒂厄-法乌(MatthieuFaou)在拉斯维加斯举行的黑帽网络安全大会上发表演讲前接受采访时说:"操作员接受了寻找机密文件的培训,但我们不确定他们到底在寻找什么。他们只在白俄罗斯境内对外国外交官进行攻击。因此,我们从未在白俄罗斯境外看到过MustachedBouncer的任何攻击。"
ESET表示,它首次检测到MoustachedBouncer是在2022年2月,也就是俄罗斯入侵乌克兰几天后,针对一个"以某种方式卷入战争"的欧洲国家大使馆的特定外交官发起的网络攻击,Faou拒绝透露国家名称。
通过篡改网络流量,黑客组织能够欺骗目标的Windows操作系统,使其误以为自己连接到了一个带有认证门户的网络。然后,目标会被重定向到一个伪装成WindowsUpdate的虚假恶意网站,该网站会警告目标"必须安装关键的系统安全更新"。
目前还不清楚MoustachedBouncer是如何拦截和修改流量的--这是一种被称为"中间对手"(adversary-in-the-middle,或AitM)的技术--但ESET的研究人员认为,这是因为白俄罗斯的互联网服务供应商与攻击者合作,允许黑客使用一种类似于俄罗斯部署的合法拦截系统(被称为SORM)。
这一监控系统的存在已为人所知多年。根据大赦国际2016年的一份报告,在白俄罗斯,所有电信供应商"必须使其硬件与SORM系统兼容"。
据Faou称,ESET研究人员在去年2月发现这次攻击并分析了所使用的恶意软件后,就发现了其他攻击--最早的可追溯到2014年--尽管在2014年至2018年期间没有任何蛛丝马迹。
"因此,如果他们能够入侵外交官等高调目标,同时又没有人真正谈论过他们,而且可供分析的恶意软件样本也很少,这意味着他们相当成功。"他说,"这说明他们在行动时相当谨慎。"
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】