Turian Backdoor

Il Turian Backdoor è una nuova minaccia su misura, impiegata negli attacchi di un gruppo di hacker precedentemente sconosciuto. Questo nuovo attore di minacce stabilito sulla scena delle cybergang è stato soprannominato BackdoorDiplamacy e si ritiene che sia attivo almeno dal 2017. L'impostazione e l'infrastruttura delle operazioni minacciose del gruppo indicano che si tratta di un APT (Advanced Persistent Threat) sponsorizzato dallo stato. Anche l'insieme delle vittime altamente localizzato supporta questa congettura.

Finora BackdoorDiplomacy ha effettuato attacchi contro istituzioni governative come i ministeri degli Affari esteri di diversi paesi africani, nonché Europa, Medio Oriente e Asia. Il gruppo ha anche violato diverse società di telecomunicazioni operanti in Africa e almeno un'organizzazione di beneficenza del Medio Oriente.

Per quanto riguarda il Turian Backdoor, è solo uno dei numerosi strumenti minacciosi che compongono il kit malware di BackdoorDiplomacy. L'analisi iniziale rivela che la minaccia è stata sviluppata sulla base della backdoor Quarian, uno strumento malware che è stato sfruttato contro obiettivi diplomatici in una serie di attacchi nel 2013. Anche la backdoor Turian è essenziale per estrarre qualsiasi informazione sottratta ai sistemi compromessi. Dopotutto, l'obiettivo principale degli hacker BackdoorDiplomacy è raccogliere dati dai loro obiettivi. In quanto tale, il carico utile principale consegnato alle vittime infette è in grado di raccogliere e caricare dati di sistema, acquisire schermate arbitrarie e manipolare il file system (spostamento, eliminazione, creazione e raccolta di file).

Anche le informazioni memorizzate su supporti rimovibili come unità flash sono minacciate. I file archiviati verranno copiati e assemblati in un archivio protetto da password che viene poi caricato sul server Command-and-Control dal Turian Backdoor.