דלת אחורית דיפלומטיה

דלת אחורית דיפלומטיה תיאור

BackdoorDiplomacy היא קבוצת APT (Advanced Persistent Threat) המתמקדת בביצוע פעולות תקיפה נגד מטרות דיפלומטיות באפריקה, אירופה, המזרח התיכון ואסיה. בין הקורבנות של הקבוצה נמנים גם משרדי החוץ של כמה מדינות אפריקאיות. בתדירות נמוכה יותר, BackdoorDiplomacy הייתה מעורבת בפעולות הפרות נגד חברות תקשורת וארגוני צדקה.

וקטורי ההדבקה הראשוניים שניצלו על ידי BackdoorDiplomacy כוללים מציאת מערכות ויישומים חשופים לאינטרנט פגיעים בשרתי אינטרנט. ההאקרים נצפו מנצלים פגיעות F5 BIP-IP (CVE-2020-5902) כדי להפיל דלת אחורית של לינוקס, בעוד בהתקפה אחרת הם ניצלו לרעה של שרת Microsoft Exchange באמצעות מטפטפת PowerShell שסיפקה מעטפת אינטרנט מתועדת היטב בשם China Chopper . כפי שהמקרים הללו מראים בבירור, ל-BackdoorDiplomacy יש כלים זדוניים חוצי פלטפורמות שיכולים להשפיע על מערכות Windows ו-Linux כאחד.

פעילויות לאחר זיהום

לאחר שהוקמה נקודת פריצה לרשת של הקורבן, BackdoorDiplomacy משתמשת בהמון כלים בקוד פתוח לסיור ותנועה לרוחב. בין הכלים שנצפו בהם השתמשה הקבוצה הם EarthWorm - מנהרת רשת, Mimikatz , Nbtscan, NetCat - כלי רשת המסוגל לקרוא ולכתוב נתונים על פני חיבורי רשת, PortQry, SMBTouch, ועוד כמה כלים שהודלפו במזבלה של ShadowBrokers NSA.

בסופו של דבר, הקבוצה מספקת את הכלי הזדוני הייחודי שלה בשם Turian Backdoor . ניתוח של התוכנה הזדונית גילה ש-BackdoorDiplomacy פיתחה את Turian על בסיס איום בדלת אחורית בשם Quarian. הדלת האחורית הקודמת הזו מונפה נגד מערך דומה של מטרות בסדרת התקפות שכוונו נגד ישויות דיפלומטיות הממוקמות בסוריה ובארצות הברית. יש לציין ש-Backdoor Diplomacy מפיל גם מטען הפעלה נפרד שמטרתו לזהות כל התקני אחסון נשלפים המחוברים למערכת שנפרצה. לאחר מכן הוא יכול להעתיק את תוכנם ולאחסן אותם בסל המיחזור של הכונן הראשי.

קשרים לשחקני איום אחרים

BackdoorDiplomacy מציגה חפיפות מסוימות עם קבוצות פושעי סייבר אחרות מאזור אסיה. לדוגמה, פרוטוקול ההצפנה שבו משתמש טוריאן כמעט זהה לזה שנראה בדלת האחורית של Whitebird, כלי מאיים המיוחס לקבוצת קליפסו. Whitebird הועסק בהתקפות נגד ארגונים דיפלומטיים מקזחסטן ומקירגיזסטן באותו מסגרת זמן כמו מבצעי BackdoorDiplomcy. ניתן גם ליצור חפיפה בין BackdoorDiplomacy לבין קבוצה אחרת בשם APT15, שכן שתיהן מסתמכות על אותן טכניקות ונהלים בעת פריסת המטענים של הדלת האחורית בהתאמה - בעיקר חטיפת סדר החיפוש של DLL.