Bezpečnostné chyby dokážu nepríjemne potrápiť aj široko používané služby. Po novom sa jedna takáto medzera objavila v prostredí služby Seznam.cz, pričom jej príčinou môžu byť viaceré e-mailové schránky vystavené riziku špionáže. O novinke informuje server mobilenet.cz.
Bezpečnostné nedostatky služby Seznam.cz odhalila spoločnosť ESET, ktorá objavila novú kyberšpionážnu skupinu s názvom MoustachedBouncer. Na základe mena sa zdá, že skupina sídli v Bielorusku, pričom aktívna má byť už od roku 2014.
Od roku 2020 však má byť s veľkou pravdepodobnosťou schopná kompromitovať svoje ciele útokmi typu adversary-in-the-middle (AitM), a to na úrovni poskytovateľov internetových služieb (ISP) pôsobiacich v jej domácej krajine. Používať má predovšetkým dve samostatné sady nástrojov, menovite NightClub a Disco.
Exfiltrujú sa cez bezplatné e-mailové služby
Spojitosť so známou českou e-mailovou službou nájdeme v spôsobe exfiltrácie dát. Na tú totiž skupina využíva bezplatné e-mailové služby, akou je aj Seznam.cz. Odborníci z ESETu sa domnievajú, že útočníci si na platforme vytvorili viacero účtov.
Taktiež tvrdia, že skupina zameriava svoje útoky predovšetkým na zahraničné ambasády v Bielorusku. Doposiaľ identifikovali ambasády z celkovo štyroch krajín, ktoré sa stali terčom útoku – dve ambasády sídlia v Európe, jedna v Ázii a jedna v Afrike.
Útoky MoustachedBouncer sa opierajú o pokročilé techniky pre komunikáciu s riadiacim serverom, vrátane odpočúvania siete na úrovni ISP (Disco), ale aj pre zachytávanie e-mailov či odpočúvanie služby DNS v jednom z pluginov NightClub.
ESET sa taktiež domnieva, že skupina spolupracuje s ďalšou špionážnou organizáciou Winter Vivern, ktorá v roku 2023 realizovala útoky na vládnych zamestnancov z viacerých krajín, vrátane Poľska a Ukrajiny.
Oklamať dokážu aj Windows
Na kompromitáciu svojich cieľov majú útočníci manipulovať s internetovým pripojením svojich obetí. Ako už bolo spomenuté vyššie, dosť možno tak robia na úrovni ISP. Dokážu teda oklamať aj bezpečnostné systémy v samotnom Windows, nakoľko sa prejavujú vo forme webovej stránky zobrazujúcej sa pripojeným používateľom predtým, ako im bude udelený ďalší prístup do siete (captive portál).
„Pri rozsahu IP adries, na ktoré sa MoustachedBouncer zameriava, je sieťová prevádzka presmerovaná na falošnú, ale legitímne vyzerajúcu stránku Windows Update,“ vysvetľuje Matthieu Faou, expert zo spoločnosti ESET. „Túto techniku adversary-in-the-middle používajú útočníci výhradne proti niekoľkým vybraným organizáciám, konkrétne ambasádam, nikdy nie celoštátne. Scenár AitM nám pripomína skupiny Turla a StrongPity, ktorým sa podarilo kompromitovať inštalačné súbory na úrovni poskytovateľov internetových služieb.“
„Hoci nemožno celkom vylúčiť kompromitáciu routerov s cieľom uskutočniť AitM útoky na siete ambasád, možnosť legálneho odpočúvania v Bielorusku naznačujú, že k manipulácii s prevádzkou dochádza najmä na úrovni poskytovateľov internetových služieb, než na routeroch cieľov,“ dodáva Faou.
Bežní používatelia sa teda nemusia okamžite strachovať. Pre Seznam.cz však ide o veľmi zlú správu, ktorej musí venovať okamžitú pozornosť. Ak tak neurobí, slúži de facto ako nástroj, cez ktorý môžu útočníci spôsobiť vážne nepríjemnosti v nejednej krajine.
