Los piratas informáticos con vínculos aparentes con el gobierno bielorruso han estado atacando a diplomáticos extranjeros en el país durante casi 10 años, según investigadores de seguridad.

El jueves, la firma de antivirus ESET publicó un informe que detalla las actividades de un grupo de hackers del gobierno recién descubierto que la compañía ha denominado MoustachedBouncer. Es probable que el grupo haya estado pirateando o al menos apuntando a diplomáticos al interceptar sus conexiones a nivel del proveedor de servicios de Internet (ISP), lo que sugiere una estrecha colaboración con el gobierno de Bielorrusia, según ESET.

Desde 2014, MoustachedBouncer se ha centrado en al menos cuatro embajadas extranjeras en Bielorrusia: dos naciones europeas, una del sur de Asia y otra de África.

“Los operadores fueron capacitados para encontrar algunos documentos confidenciales, pero no estamos seguros exactamente de lo que estaban buscando”, dijo Matthieu Faou, investigador de ESET, a Tecno en una entrevista antes de su charla en la conferencia de ciberseguridad Black Hat en Las Vegas. “Están operando solo dentro de Bielorrusia contra diplomáticos extranjeros. Así que nunca hemos visto ningún ataque de MustachedBouncer fuera de Bielorrusia”.

ESET dijo que detectó MoustachedBouncer por primera vez en febrero de 2022, días después de que Rusia invadiera Ucrania, con un ataque cibernético contra diplomáticos específicos en la embajada de un país europeo “de alguna manera involucrado en la guerra”, dijo Faou, negándose a nombrar el país.

Al alterar el tráfico de la red, el grupo de piratas informáticos puede engañar al sistema operativo Windows del objetivo para que crea que está conectado a una red con un portal cautivo. Luego, el objetivo se redirige a un sitio falso y malicioso que se hace pasar por Windows Update, que advierte al objetivo que hay «actualizaciones críticas de seguridad del sistema que deben instalarse», según el informe.

No está claro cómo MoustachedBouncer puede interceptar y modificar el tráfico, una técnica conocida como adversario en el medio o AitM, pero los investigadores de ESET creen que se debe a que los ISP de Bielorrusia están colaborando con los ataques, lo que permite a los piratas informáticos utilizar un sistema de intercepción legal. similar al que despliega Rusia, conocido como SORM.

La existencia de este sistema de vigilancia se conoce desde hace años. En Bielorrusia, todos los proveedores de telecomunicaciones “deben hacer que su hardware sea compatible con el sistema SORM”, según un informe de Amnistía Internacional de 2016.

Una vez que los investigadores de ESET encontraron el ataque en febrero pasado y analizaron el malware utilizado, pudieron descubrir otros ataques, el más antiguo data de 2014, aunque no hay rastro de ellos entre 2014 y 2018, según Faou.

“Se mantuvieron bajo el radar durante mucho tiempo. Y, por lo tanto, significa que tienen bastante éxito si pueden comprometer objetivos de alto perfil como diplomáticos, mientras que nadie habló realmente sobre ellos, y ha habido muy pocas muestras de malware disponibles para el análisis”, dijo. “Se nota que son bastante cuidadosos al hacer las operaciones”.

¿Tienes información sobre este grupo de hackers? ¿U otras amenazas persistentes avanzadas (APT)? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Telegram and Wire @lorenzofb, o enviar un correo electrónico a lorenzo@techcrunch.com. También puede comunicarse con Tecno a través de SecureDrop.