قال باحثون إن قراصنة بيلاروسيا يستهدفون الدبلوماسيين الأجانب بمساعدة مزودي خدمة الإنترنت المحليين

قال باحثون أمنيون إن المتسللين الذين تربطهم صلات واضحة بالحكومة البيلاروسية كانوا يستهدفون الدبلوماسيين الأجانب في البلاد منذ ما يقرب من 10 سنوات.

يوم الخميس ، نشرت شركة مكافحة الفيروسات ESET تقريرًا يوضح تفاصيل أنشطة مجموعة قرصنة حكومية اكتشفت حديثًا أطلقت عليها الشركة اسم MoustachedBouncer. من المحتمل أن تكون المجموعة تخترق أو على الأقل تستهدف الدبلوماسيين من خلال اعتراض اتصالاتهم على مستوى مزود خدمة الإنترنت (ISP) ، مما يشير إلى تعاون وثيق مع حكومة بيلاروسيا ، وفقًا لـ ESET.

منذ عام 2014 ، استهدف MoustachedBouncer أربع سفارات أجنبية على الأقل في بيلاروسيا: دولتان أوروبيتان ، واحدة من جنوب آسيا ، وأخرى من إفريقيا.

قال الباحث في ESET ماتيو فو لموقع TechCrunch في مقابلة قبل حديثه في مؤتمر Black Hat للأمن السيبراني في لاس فيجاس: “تم تدريب المشغلين على العثور على بعض المستندات السرية ، لكننا لسنا متأكدين تمامًا مما كانوا يبحثون عنه”. إنهم يعملون داخل بيلاروسيا فقط ضد الدبلوماسيين الأجانب. لذلك لم نشهد مطلقًا أي هجوم من قبل MoustachedBouncer خارج بيلاروسيا “.

قالت إسيت إنها اكتشفت لأول مرة MoustachedBouncer في فبراير 2022 ، بعد أيام من غزو روسيا لأوكرانيا ، بهجوم إلكتروني ضد دبلوماسيين محددين في سفارة دولة أوروبية “متورطة بطريقة ما في الحرب” ، كما قال فاو ، رافضًا تسمية الدولة.

من خلال التلاعب بحركة مرور الشبكة ، تكون مجموعة القرصنة قادرة على خداع نظام تشغيل Windows المستهدف للاعتقاد بأنه متصل بشبكة ذات بوابة مقيدة. ثم يتم إعادة توجيه الهدف إلى موقع مزيف وضار يتنكر في شكل Windows Update ، والذي يحذر الهدف من وجود “تحديثات أمان مهمة للنظام يجب تثبيتها” ، وفقًا للتقرير.

ليس من الواضح كيف يمكن لـ MoustachedBouncer اعتراض وتعديل حركة المرور – وهي تقنية تُعرف باسم الخصم في الوسط ، أو AitM – لكن باحثو ESET يعتقدون أن السبب في ذلك هو أن مزودي خدمة الإنترنت البيلاروسيين يتعاونون مع الهجمات ، مما يسمح للمتسللين باستخدام نظام اعتراض قانوني على غرار ما تنشره روسيا ، والمعروف باسم SORM.

إن وجود نظام المراقبة هذا معروف منذ سنوات. في بيلاروسيا ، يجب على جميع مزودي خدمات الاتصالات “جعل أجهزتهم متوافقة مع نظام SORM” ، وفقًا لتقرير منظمة العفو الدولية لعام 2016.

بمجرد أن اكتشف باحثو ESET الهجوم في فبراير الماضي وقاموا بتحليل البرامج الضارة المستخدمة ، تمكنوا من اكتشاف هجمات أخرى – يعود أقدمها إلى عام 2014 – على الرغم من عدم وجود أي أثر لها بين عامي 2014 و 2018 ، وفقًا لفاو.

لقد بقوا تحت الرادار لفترة طويلة. وهذا يعني أنهم ناجحون تمامًا إذا كانوا قادرين على اختراق أهداف بارزة مثل الدبلوماسيين ، بينما لم يتحدث عنها أحد حقًا ، وكان هناك عدد قليل جدًا من عينات البرامج الضارة المتاحة للتحليل ، “قال. “إنه يظهر أنهم حريصون للغاية عند القيام بالعمليات.”

هل لديك معلومات عن مجموعة القرصنة هذه؟ أو التهديدات المستمرة المتقدمة الأخرى (APTs)؟ نود أن نسمع منك. من جهاز غير خاص بالعمل ، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بأمان على Signal على +1917 257 1382 ، أو عبر Telegram and Wirelorenzofb ، أو إرسال بريد إلكتروني إلى lorenzo@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.