Turian Backdoor

Turian Backdoor, daha önce bilinmeyen bir hacker grubu tarafından saldırılarda kullanılan yeni bir ısmarlama tehdittir. Siber çete sahnesinde kurulan bu yeni tehdit aktörü BackdoorDiplamacy olarak adlandırıldı ve en az 2017'den beri aktif olduğuna inanılıyor. Grubun tehdit edici operasyonlarının kurulumu ve altyapısı, bunun devlet destekli bir APT (Gelişmiş Kalıcı Tehdit) olduğuna işaret ediyor. Oldukça yerelleşmiş kurbanlar grubu da bu varsayımı desteklemektedir.

Şimdiye kadar BackdoorDiplomacy, Avrupa, Orta Doğu ve Asya'nın yanı sıra birden fazla Afrika ülkesinin Dışişleri Bakanlıkları gibi devlet kurumlarına yönelik saldırılar gerçekleştirdi. Grup ayrıca Afrika'da faaliyet gösteren birkaç telekomünikasyon firmasına ve Orta Doğu'dan en az bir yardım kuruluşuna da erişim sağladı.

Turian Backdoor'a gelince, BackdoorDiplomacy'nin kötü amaçlı yazılım kitini oluşturan sayısız tehdit aracından sadece biri. İlk analiz, tehdidin, 2013'te bir dizi saldırıda diplomatik hedeflere karşı kullanılan bir kötü amaçlı yazılım aracı olan Quarian arka kapısına dayalı olarak geliştirildiğini ortaya koyuyor. Turian Backdoor, güvenliği ihlal edilen sistemlerden sifonlanan herhangi bir bilgiyi sızdırmak için de gereklidir. Ne de olsa BackdoorDiplomacy korsanlarının asıl amacı hedeflerinden veri toplamaktır. Bu nedenle, virüs bulaşmış kurbanlara iletilen ana yük, sistem verilerini toplama ve yükleme, rastgele ekran görüntüleri alma ve dosya sistemini değiştirme (dosyaları taşıma, silme, oluşturma ve toplama) yeteneğine sahiptir.

Flash sürücüler gibi çıkarılabilir ortamlarda saklanan bilgiler de tehdit altındadır. Orada depolanan dosyalar, Turian Backdoor tarafından Komuta ve Kontrol sunucusuna yüklenen parola korumalı bir arşive kopyalanacak ve birleştirilecektir.