Ερευνητές ασφαλείας της ESET ανακάλυψαν μια νέα APT ομάδα που στοχεύει διπλωμάτες σε όλη την Αφρική και τη Μέση Ανατολή. Η hacking ομάδα, που έχει ονομαστεί BackdoorDiplomacy, έχει συνδεθεί με επιθέσεις σε Υπουργεία Εξωτερικών σε πολλές αφρικανικές χώρες, τη Μέση Ανατολή, την Ευρώπη και την Ασία. Επιπλέον, φαίνεται να είναι υπεύθυνη και για επιθέσεις σε εταιρείες τηλεπικοινωνιών στην Αφρική και σε τουλάχιστον μια φιλανθρωπική οργάνωση στη Μέση Ανατολή.
Δείτε επίσης: Κινέζοι χάκερς ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν κυβερνήσεις
Πιστεύεται ότι η ομάδα BackdoorDiplomacy δραστηριοποιείται τουλάχιστον από το 2017. Οι hackers στοχεύουν τόσο Linux όσο και Windows συστήματα.
Η APT ομάδα αναζητά web servers και network management interfaces με ευπάθειες ή κενά ασφαλείας. Σε μία επίθεση που παρατηρήθηκε από την ESET, η ομάδα BackdoorDiplomacy χρησιμοποίησε ένα σφάλμα F5 – CVE-2020-5902 – για την ανάπτυξη ενός Linux backdoor, ενώ, σε μια άλλη, υιοθέτησε Microsoft Exchange server σφάλματα για την ανάπτυξη του webshell China Chopper.
 που στοχεύει διπλωμάτες σε όλη την Αφρική και τη Μέση Ανατολή){kind=link}
Μόλις αποκτούν πρόσβαση στα συστήματα, οι hackers σαρώνουν τη συσκευή για να εξαπλωθούν και αλλού, εγκαθιστούν ένα custom backdoor και αναπτύσσουν άλλα κακόβουλα εργαλεία για να κατασκοπεύσουν και να κλέψουν δεδομένα.
Δείτε επίσης: Microsoft/Adobe exploits: Οι αγαπημένες επιλογές των hackers
Το backdoor, που ονομάζεται Turian, θεωρείται ότι βασίζεται στο Quarian backdoor, ένα κακόβουλο λογισμικό που έχει συνδεθεί με επιθέσεις σε διπλωμάτες της Συρίας και των ΗΠΑ το 2013.
Το κύριο malware είναι ικανό να συλλέγει και να κλέβει δεδομένα συστήματος, να λαμβάνει screenshots και να αντικαθιστά, να μετακινεί / διαγράφει ή κλέβει αρχεία.
Οι hackers χρησιμοποιούν διάφορα εργαλεία στις επιθέσεις τους.
Η APT ομάδα BackdoorDiplomacy πραγματοποιεί, επίσης, σαρώσεις για flash drives και προσπαθεί να αντιγράψει όλα τα αρχεία σε ένα archive που προστατεύεται με κωδικό πρόσβασης και το οποίο στη συνέχεια μεταφέρεται σε ένα command-and-control (C2) center μέσω του backdoor.
Δείτε επίσης: ΗΠΑ: Κατασχέθηκαν domains που χρησιμοποίησε η APT29 σε πρόσφατη phishing εκστρατεία
Η ομάδα φαίνεται να έχει κάποια κοινά στοιχεία με άλλες ομάδες.
Το network encryption protocol που χρησιμοποιείται από την BackdoorDiplomacy είναι σχεδόν πανομοιότυπο με αυτό που χρησιμοποιείται από την ομάδα Calypso, το οποίο επίσης χρησιμοποιούνταν για επιθέσεις σε διπλωμάτες στο Καζακστάν και το Κιργιζιστάν κατά τη διάρκεια του 2017-2020. Επιπλέον, η ESET πιστεύει ότι υπάρχουν ομοιότητες με την Platinum, που είχε στοχεύσει διπλωματικούς, κυβερνητικούς και στρατιωτικούς οργανισμούς σε ολόκληρη την Ασία τα προηγούμενα χρόνια.
Πηγή: ZDNet