BackdoorDiplomacy
Το BackdoorDiplomacy είναι μια ομάδα APT (Advanced Persistent Threat) που επικεντρώνεται στη διεξαγωγή επιθετικών επιχειρήσεων εναντίον διπλωματικών στόχων στην Αφρική, την Ευρώπη, τη Μέση Ανατολή και την Ασία. Στα θύματα της ομάδας περιλαμβάνονται και τα Υπουργεία Εξωτερικών αρκετών αφρικανικών χωρών. Λιγότερο συχνά, το BackdoorDiplomacy έχει εμπλακεί σε επιχειρήσεις παραβίασης εταιρειών τηλεπικοινωνιών και φιλανθρωπικών οργανώσεων.
Οι αρχικοί φορείς μόλυνσης που εκμεταλλεύεται το BackdoorDiplomacy περιλαμβάνουν την εύρεση ευάλωτων συστημάτων και εφαρμογών που εκτίθενται στο διαδίκτυο σε διακομιστές Ιστού. Οι χάκερ έχουν παρατηρηθεί ότι εκμεταλλεύονται μια ευπάθεια F5 BIP-IP (CVE-2020-5902) για να ρίξουν μια κερκόπορτα Linux, ενώ σε άλλη επίθεση έκαναν κατάχρηση διακομιστή Microsoft Exchange μέσω ενός σταγονόμετρου PowerShell που παρέδωσε ένα κέλυφος Ιστού με καλά έγγραφα που ονομάζεται China Chopper . Όπως δείχνουν ξεκάθαρα αυτές οι περιπτώσεις, το BackdoorDiplomacy διαθέτει κακόβουλα εργαλεία πολλαπλών πλατφορμών που μπορούν να επηρεάσουν συστήματα Windows και Linux.
Δραστηριότητες μετά τη μόλυνση
Μόλις καθοριστεί ένα σημείο παραβίασης στο δίκτυο του θύματος, το BackdoorDiplomacy χρησιμοποιεί μια πληθώρα εργαλείων ανοιχτού κώδικα για αναγνώριση και πλευρική κίνηση. Μεταξύ των παρατηρούμενων εργαλεία που χρησιμοποιούνται από την ομάδα είναι σκουλήκι - μια σήραγγα δίκτυο, Mimikatz , NBTSCAN, netcat - δικτύωση χρησιμότητα μπορούσε να διαβάζει και να γράφει δεδομένα σε συνδέσεις δικτύου, PortQry, SMBTouch, και διάφορα εργαλεία που διέρρευσαν στο ShadowBrokers χωματερή δεδομένων της NSA.
Τελικά, η ομάδα παραδίδει το κακόβουλο όργανό της με την υπογραφή που ονομάζεται Turian Backdoor . Η ανάλυση του κακόβουλου λογισμικού αποκάλυψε ότι το BackdoorDiplomacy ανέπτυξε το Turian βασισμένο σε μια απειλή backdoor που ονομάζεται Qarian. Αυτή η προηγούμενη κερκόπορτα χρησιμοποιήθηκε εναντίον ενός παρόμοιου συνόλου στόχων σε μια σειρά επιθέσεων που στόχευαν σε διπλωματικές οντότητες που βρίσκονται στη Συρία και τις Ηνωμένες Πολιτείες. Θα πρέπει να σημειωθεί ότι το Backdoor Diplomacy ρίχνει επίσης ένα ξεχωριστό εκτελέσιμο ωφέλιμο φορτίο που έχει ως αποστολή την ανίχνευση τυχόν αφαιρούμενων συσκευών αποθήκευσης που είναι συνδεδεμένες στο παραβιασμένο σύστημα. Στη συνέχεια, μπορεί να αντιγράψει τα περιεχόμενά τους και να τα αποθηκεύσει στον κάδο ανακύκλωσης της κύριας μονάδας.
Συνδέσεις με άλλους παράγοντες απειλών
Το BackdoorDiplomacy παρουσιάζει ορισμένες επικαλύψεις με άλλες ομάδες κυβερνοεγκληματιών από την περιοχή της Ασίας. Για παράδειγμα, το πρωτόκολλο κρυπτογράφησης που χρησιμοποιεί ο Turian είναι σχεδόν το ίδιο με αυτό που εμφανίζεται στην κερκόπορτα Whitebird, ένα απειλητικό εργαλείο που αποδίδεται στην ομάδα Calypso. Το Whitebird χρησιμοποιήθηκε σε επιθέσεις εναντίον διπλωματικών οργανώσεων από το Καζακστάν και το Κιργιστάν κατά το ίδιο χρονικό διάστημα με τις επιχειρήσεις BackdoorDiplomacy. Μπορεί επίσης να δημιουργηθεί μια επικάλυψη μεταξύ του BackdoorDiplomacy και μιας άλλης ομάδας που ονομάζεται APT15, καθώς και οι δύο βασίζονται στις ίδιες τεχνικές και διαδικασίες κατά την ανάπτυξη των αντίστοιχων ωφέλιμων φορτίων backdoor τους - κυρίως την πειρατεία εντολών αναζήτησης DLL.
