Tagauks Diplomaatia

BackdoorDiplomacy on APT (Advanced Persistent Threat) rühmitus, mis keskendub rünnakuoperatsioonide läbiviimisele diplomaatiliste sihtmärkide vastu Aafrikas, Euroopas, Lähis-Idas ja Aasias. Grupi ohvrite hulgas on ka mitme Aafrika riigi välisministeeriumid. Harvemini on BackdoorDiplomacy osalenud telekommunikatsiooniettevõtete ja heategevusorganisatsioonide vastu suunatud rikkumisoperatsioonides.

Algsed nakkusvektorid, mida BackdoorDiplomacy kasutas, hõlmavad haavatavate Internetiga kokkupuutuvate süsteemide ja rakenduste leidmist veebiserverites. On täheldatud, et häkkerid kasutavad ära F5 BIP-IP haavatavust (CVE-2020-5902), et kaotada Linuxi tagauks, samas kui teises rünnakus kuritarvitasid nad Microsoft Exchange'i serverit PowerShelli tilguti kaudu, mis edastas hästi dokumenteeritud veebikesta nimega China Chopper. . Nagu need juhtumid selgelt näitavad, on BackdoorDiplomacyl platvormideülesed pahatahtlikud tööriistad, mis võivad mõjutada nii Windowsi kui ka Linuxi süsteeme.

Infektsioonijärgsed tegevused

Kui ohvri võrku on tuvastatud murdepunkt, kasutab BackdoorDiplomacy luureks ja külgsuunas liikumiseks paljusid avatud lähtekoodiga tööriistu. Hulgas täheldatud kasutatavad vahendid rühma Vihmauss - võrgu tunnel, Mimikatz , NBTSCAN, netcat - võrgustiku kasulikkust võimeline andmete lugemisel ja kirjutamisel kogu võrguühenduste PortQry, SMBTouch ja mitmeid tööriistu, mis olid lekkinud on ShadowBrokers NSA andmete prügimäele.

Lõpuks edastab grupp oma allkirjaga pahatahtliku instrumendi nimega Turian Backdoor . Pahavara analüüs näitas, et BackdoorDiplomacy arendas Turiani Quariani-nimelise tagaukse ohu põhjal. Seda varasemat tagaust kasutati sarnaste sihtmärkide vastu mitmete rünnakute käigus, mis olid suunatud Süürias ja Ameerika Ühendriikides asuvate diplomaatiliste üksuste vastu. Tuleb märkida, et Backdoor Diplomacy loobub ka eraldi käivitatavast kasulikust koormusest, mille ülesandeks on tuvastada kõik kahjustatud süsteemiga ühendatud eemaldatavad salvestusseadmed. Seejärel saab see nende sisu kopeerida ja salvestada põhidraivi prügikasti.

Seosed teiste ohus osalejatega

BackdoorDiplomacy kattub teiste Aasia piirkonna küberkurjategijate rühmitustega. Näiteks krüpteerimisprotokoll, mida Turian kasutab, on peaaegu sama, mis on näha Whitebirdi tagaukses, mis on Calypso rühmale omistatud ähvardav tööriist. Whitebird osales rünnakutes Kasahstani ja Kõrgõzstani diplomaatiliste organisatsioonide vastu samal ajal kui BackdoorDiplomacy operatsioonid. Samuti saab luua kattuvuse BackdoorDiplomacy ja teise rühma nimega APT15, kuna mõlemad tuginevad oma vastavate tagaukse kasulike koormuste juurutamisel samadele tehnikatele ja protseduuridele – peamiselt DLL-i otsingujärjestuse kaaperdamisele.