Turian Backdoor

Backdoor Turian to nowe, stworzone na zamówienie zagrożenie, wykorzystywane w atakach przez nieznaną wcześniej grupę hakerów. Ten nowy podmiot działający na arenie cybergangowej został nazwany BackdoorDiplamacy i uważa się, że jest aktywny od co najmniej 2017 roku. Konfiguracja i infrastruktura zagrażających operacji grupy wskazują, że jest to sponsorowane przez państwo APT (Advanced Persistent Threat). Wysoce zlokalizowany zbiór ofiar również potwierdza tę hipotezę.

Do tej pory BackdoorDiplomacy przeprowadzał ataki na instytucje rządowe, takie jak Ministerstwa Spraw Zagranicznych wielu krajów afrykańskich, a także Europy, Bliskiego Wschodu i Azji. Grupa włamała się również do kilku firm telekomunikacyjnych działających w Afryce i co najmniej jednej organizacji charytatywnej z Bliskiego Wschodu.

Jeśli chodzi o backdoora Turian, jest to tylko jeden z wielu groźnych narzędzi, które składają się na zestaw malware BackdoorDiplomacy. Wstępna analiza pokazuje, że zagrożenie zostało opracowane w oparciu o backdoora Quarian, złośliwe narzędzie, które zostało wykorzystane przeciwko celom dyplomatycznym w serii ataków w 2013 roku. Backdoor Turian jest również niezbędny do wydobycia wszelkich informacji wyprowadzonych z zaatakowanych systemów. W końcu głównym celem hakerów BackdoorDiplomacy jest zbieranie danych od ich celów. W związku z tym główny ładunek dostarczany do zainfekowanych ofiar może zbierać i przesyłać dane systemowe, wykonywać dowolne zrzuty ekranu, a także manipulować systemem plików (przenoszenie, usuwanie, tworzenie i zbieranie plików).

Zagrożone są również informacje przechowywane na nośnikach wymiennych, takich jak dyski flash. Przechowywane tam pliki zostaną skopiowane i zmontowane w archiwum chronionym hasłem, które następnie zostanie przesłane na serwer Dowodzenia i Kontroli przez Backdoor Turian.