Diplomacia de la porta del darrere

BackdoorDiplomacy és un grup APT (Advanced Persistent Threat) enfocat a dur a terme operacions d'atac contra objectius diplomàtics a Àfrica, Europa, Orient Mitjà i Àsia. Les víctimes del grup també inclouen els Ministeris d'Afers Exteriors de diversos països africans. Amb menys freqüència, BackdoorDiplomacy ha participat en operacions d'incompliment contra empreses de telecomunicacions i organitzacions benèfiques.

Els vectors d'infecció inicials explotats per BackdoorDiplomacy inclouen trobar sistemes i aplicacions vulnerables exposats a Internet als servidors web. S'ha observat que els pirates informàtics exploten una vulnerabilitat F5 BIP-IP (CVE-2020-5902) per deixar caure una porta del darrere de Linux mentre en un altre atac van abusar d'un servidor de Microsoft Exchange mitjançant un comptagotes PowerShell que va lliurar un shell web ben documentat anomenat China Chopper. . Com mostren clarament aquests casos, BackdoorDiplomacy té eines malicioses multiplataforma que poden afectar tant els sistemes Windows com Linux.

Activitats post-infecció

Un cop establert un punt d'incompliment a la xarxa de la víctima, BackdoorDiplomacy utilitza una multitud d'eines de codi obert per al reconeixement i el moviment lateral. Entre les eines observats utilitzats pel grup són Earthworm - un túnel de xarxa, Mimikatz , NBTScan, Netcat - utilitat capaç de llegir i escriure dades a través de connexions de xarxa, PortQry, SMBTouch, i diverses eines que es van filtrar en l'establiment d'una xarxa ShadowBrokers bolcat de dades de la NSA.

Finalment, el grup lliura el seu instrument maliciós característic anomenat Turian Backdoor . L'anàlisi del programari maliciós ha revelat que BackdoorDiplomacy va desenvolupar Turian basant-se en una amenaça de porta posterior anomenada Quarian. Aquesta porta del darrere anterior es va aprofitar contra un conjunt similar d'objectius en una sèrie d'atacs dirigits a entitats diplomàtiques ubicades a Síria i als Estats Units. Cal tenir en compte que Backdoor Diplomacy també deixa caure una càrrega útil executable independent encarregada de detectar qualsevol dispositiu d'emmagatzematge extraïble connectat al sistema compromès. A continuació, pot copiar el seu contingut i emmagatzemar-lo a la paperera de reciclatge de la unitat principal.

Connexions amb altres actors d'amenaça

BackdoorDiplomacy mostra certs solapaments amb altres grups cibercriminals de la regió asiàtica. Per exemple, el protocol de xifratge que utilitza Turian és gairebé el mateix que el que es veu a la porta del darrere de Whitebird, una eina amenaçadora atribuïda al grup Calypso. Whitebird va ser emprat en atacs contra organitzacions diplomàtiques de Kazakhstan i Kirguizistan durant el mateix període de temps que les operacions BackdoorDiplomacy. També es pot establir un solapament entre BackdoorDiplomacy i un altre grup anomenat APT15, ja que tots dos es basen en les mateixes tècniques i procediments a l'hora de desplegar les seves respectives càrregues útils de la porta posterior, principalment el segrest d'ordres de cerca DLL.