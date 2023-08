Jena (ots) - "MoustachedBouncer", eine bisher unbekannte und von ESET Research

kürzlich entdeckte Cyberspionage-Gruppe, späht seit mindestens 2014 ausländische

Botschaften in Belarus aus. Sie agiert zusammen mit einer anderen Gruppe namens

Winter Vivern. Die Angriffe basieren auf der

Adversary-in-the-Middle(AitM)-Methode. ESET Experten vermuten, dass die Hacker

ihre Attacken auf Ebene des Internetdienstanbieters (ISP) durchführen. Die

Drahtzieher hinter MoustachedBouncer zielen darauf ab, Computer von Mitarbeitern

der Botschaft zu kompromittieren und Daten abzuführen. Der Fokus liegt auf dem

Diebstahl von Dateien und der Überwachung interner und externer Laufwerke. Da

die Gruppe im Interesse von Belarus agiert, erhalten belarussische Behörden

mutmaßlich Zugang zu den gekaperten Daten.



Was bedeutet Adversary-in-the-Middle?





Ein Adversary-in-the-Middle (AitM)-Angriff ist eine Art von Cyberattacke, beider sich ein Angreifer in der Kommunikation zwischen zwei Parteien positioniert.Dabei kann es sich um zwei Benutzer, zwei Geräte oder einen Benutzer und eineAnwendung oder einen Server handeln. Bis zu diesem Stadium ähnelt die Attackeder Man-in-the-Middle(MitM)-Technik. Zusätzlich übernimmt der Hacker dieKontrolle über die zugrundeliegende Netzwerkinfrastruktur und ist so in derLage, das Netzwerk aktiv zu manipulieren. Dadurch erhält er Zugriff auf allegesendeten und empfangenen Informationen. Erst letztes Jahr machte einegroßangelegte AitM-Kampagne Schlagzeilen, als Hacker Login-Daten und damitZugang zu zahlreichen Microsoft Office-Konten erlangten - trotzSicherheitsvorkehrungen wie einer Multifaktor-Authentifizierung.MoustachedBouncer: Angriff über AitM"Um ihre Ziele zu kompromittieren, manipulieren die Akteure vonMoustachedBouncer den Internetzugang ihrer Opfer. Danach gaukeln sie demBetriebssystem vor, es befände sich hinter einem firmeneigenen Portal. Bei denIP-Bereichen, auf die MoustachedBouncer abzielt, wird der Netzwerkverkehr aufeine scheinbar legitime, aber gefälschte Windows-Update-Seite umgeleitet",erklärt ESET Forscher Matthieu Faou, der die neue Cyberspionage-Gruppe entdeckthat. "Diese 'Adversary-in-the-Middle'-Variante kommt nur bei einigenausgewählten Organisationen vor, vielleicht nur bei Botschaften und nichtlandesweit. Das AitM-Szenario erinnert an die Hackergruppen Turla undStrongPity, die Software Installer auf ISP-Ebene mit Trojanern infizierthatten", fügt Faou hinzu.Über die eingesetzten SpionagewerkzeugeMoustachedBouncer verwendet zwei separate Toolsets parallel, die ESET ForscherNightClub und Disco genannt haben. NightClub nutzt die kostenlosenE-Mail-Dienste Seznam.cz aus Tschechien und den Webmail-Anbieter Mail.ru aus