Užpakalinės durysDiplomatija

„BackdoorDiplomacy“ yra APT (Advanced Persistent Threat) grupė, orientuota į atakų operacijas prieš diplomatinius taikinius Afrikoje, Europoje, Artimuosiuose Rytuose ir Azijoje. Tarp grupuotės aukų taip pat yra kelių Afrikos šalių užsienio reikalų ministerijos. Rečiau „BackdoorDiplomacy“ dalyvavo pažeidimo operacijose prieš telekomunikacijų įmones ir labdaros organizacijas.

Pradiniai infekcijos vektoriai, kuriuos naudoja „BackdoorDiplomacy“, apima pažeidžiamų internetinių sistemų ir taikomųjų programų radimą žiniatinklio serveriuose. Pastebėta, kad įsilaužėliai išnaudoja F5 BIP-IP pažeidžiamumą (CVE-2020-5902), kad pašalintų „Linux“ užpakalines duris, o kitos atakos metu jie piktnaudžiavo „Microsoft Exchange“ serveriu naudodami „PowerShell“ lašintuvą, kuris pateikė gerai dokumentuotą žiniatinklio apvalkalą, pavadintą „ China Chopper“. . Kaip aiškiai matyti iš šių atvejų, „BackdoorDiplomacy“ turi įvairių platformų kenkėjiškų įrankių, galinčių paveikti tiek „Windows“, tiek „Linux“ sistemas.

Veiksmai po infekcijos

Nustačius aukos tinklo pažeidimo vietą, „BackdoorDiplomacy“ naudoja daugybę atvirojo kodo įrankių žvalgybai ir judėjimui į šoną. Tarp pastebėtų įrankių, kuriuos naudoja grupė, yra „EarthWorm“ – tinklo tunelis, „ Mimikatz“ , „Nbtscan“, „ NetCat“ – tinklo programa, galinti nuskaityti ir rašyti duomenis per tinklo ryšius, „PortQry“, „SMBTouch“ ir keletas įrankių, kurie buvo nutekinti „ ShadowBrokers NSA“ duomenų išvartelėje.

Galiausiai grupė pristato savo firminį kenkėjišką instrumentą, pavadintą Turian Backdoor . Kenkėjiškos programos analizė atskleidė, kad „BackdoorDiplomacy“ sukūrė „Turian“, remdamasi užpakalinių durų grėsme, pavadinta „Quarian“. Šios ankstesnės užpakalinės durys buvo panaudotos prieš panašius taikinius per daugybę išpuolių, nukreiptų prieš diplomatinius subjektus, esančius Sirijoje ir JAV. Reikėtų pažymėti, kad „Backdoor Diplomacy“ taip pat atsisako atskiro vykdomojo naudingojo krovinio, kuriam pavesta aptikti visus išimamus saugojimo įrenginius, prijungtus prie pažeistos sistemos. Tada jis gali nukopijuoti jų turinį ir saugoti pagrindinio disko šiukšliadėžėje.

Ryšiai su kitais grėsmės veikėjais

„BackdoorDiplomacy“ tam tikra prasme sutampa su kitomis Azijos regiono kibernetinėmis nusikaltėlių grupėmis. Pavyzdžiui, Turiano naudojamas šifravimo protokolas yra beveik toks pat kaip ir Whitebird backdoor – grėsmingas įrankis, priskiriamas Calypso grupei. Whitebird buvo įdarbintas išpuoliuose prieš diplomatines organizacijas iš Kazachstano ir Kirgizijos tuo pačiu laikotarpiu kaip ir BackdoorDiplomacy operacijos. Taip pat galima nustatyti „BackdoorDiplomacy“ ir kitos grupės, pavadintos APT15, sutapimą, nes abi naudojasi tais pačiais metodais ir procedūromis, kai diegia atitinkamą galinių durų apkrovą – daugiausia DLL paieškos užsakymo užgrobimo.