{"id":18524,"date":"2023-08-29T00:03:17","date_gmt":"2023-08-29T04:03:17","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=18524"},"modified":"2023-08-29T00:03:17","modified_gmt":"2023-08-29T04:03:17","slug":"eset-detecta-espionaje-a-diplomaticos-extranjeros-en-bielorrusia","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/08\/29\/eset-detecta-espionaje-a-diplomaticos-extranjeros-en-bielorrusia\/","title":{"rendered":"ESET detecta espionaje a diplom\u00e1ticos extranjeros en Bielorrusia"},"content":{"rendered":"

El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 un ataque del grupo de ciberespionaje \u201cMoustachedBouncer\u201d. El mismo tiene de blanco a las embajadas extranjeras en Bielorrusia, y se identific\u00f3 que el personal de embajadas de cuatro pa\u00edses fueron atacados: dos de Europa, uno del sur de Asia y uno de \u00c1frica.<\/p>\n

Para comprometer a sus blancos, los operadores de\u00a0MoustachedBouncer<\/i>\u00a0manipulan el acceso a internet de sus v\u00edctimas, probablemente a nivel del ISP, para hacerle creer a\u00a0 Windows que est\u00e1 detr\u00e1s de un portal cautivo.\u00a0La p\u00e1gina falsa de Windows Update se mostrar\u00e1 a la potencial v\u00edctima cuando se conecte a la red.<\/p>\n

Una vez que logran ingresar a los dispositivos de sus objetivos pueden tomar capturas de pantalla, grabar audio y robar informaci\u00f3n. Para esto aprovechan protocolos de comandos y control basados en email, backdoors modulares en C++ y ataques de adversary-in-the-middle (AitM). El grupo usa dos\u00a0sets<\/i>\u00a0de herramientas que ESET denomino\u00a0NightClub<\/i>\u00a0y\u00a0Disco.<\/i><\/p>\n

Desde ESET se observ\u00f3 que el texto est\u00e1 en ruso porque es el idioma principal en Bielorrusia, pero probablemente existan versiones en otros idiomas. La p\u00e1gina indica que hay actualizaciones cr\u00edticas del sistema de seguridad que necesitan ser instaladas.<\/p>\n

Un punto importante es que la t\u00e9cnica de AitM solo ocurre contra un par de organizaciones seleccionadas (tal vez, solo embajadas), y no en todo el pa\u00eds. No es posible reproducir la redirecci\u00f3n desde una direcci\u00f3n de IP aleatoria en Bielorrusia.<\/p>\n

\u201cMoustachedBouncer es un h\u00e1bil actor de amenazas dirigido a diplom\u00e1ticos extranjeros en Bielorrusia. Utiliza t\u00e9cnicas bastante avanzadas para las comunicaciones de C&C, incluyendo la interceptaci\u00f3n de redes a nivel de ISP para el implante Disco, correos electr\u00f3nicos para el implante NightClub y DNS en uno de los plugins NightClub.\u201d, <\/i>explica Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n

Se puede identificar que utiliza HTTP no encriptado, y no HTTPS, y que el subdominio\u00a0updates.microsoft[.]com\u00a0no existe entre los nombres de servidores de Microsoft, por lo que no resuelve en la internet abierta. Durante el ataque, este dominio resolvi\u00f3 en\u00a0\u00a05.45.121[.]106\u00a0en la m\u00e1quina del blanco de ataque. Esta direcci\u00f3n IP es usada para aparcar dominios y no est\u00e1 relacionada con Microsoft. Aunque es una direcci\u00f3n IP enrutable a internet, el tr\u00e1fico de esta IP nunca alcanza la internet durante el ataque AitM. Ambos, la resoluci\u00f3n DNS y las respuestas HTTP, fueron injectadas en el tr\u00e1nsito, probablemente a nivel del ISP.<\/p>\n

\u201cLa principal conclusi\u00f3n es que las organizaciones en pa\u00edses extranjeros donde no se puede confiar en Internet deben utilizar un t\u00fanel VPN cifrado de extremo a extremo a una ubicaci\u00f3n de confianza para todo su tr\u00e1fico de Internet con el fin de eludir cualquier dispositivo de inspecci\u00f3n de red.\u201d, <\/i>advierte Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n

Claves de este reporte:<\/i><\/b><\/p>\n