Výskumníci v oblasti kybernetickej bezpečnosti vo štvrtok uzavreli novú skupinu kybernetickej špionáže, ktorá stojí za sériou cielených útokov proti diplomatickým subjektom a telekomunikačným spoločnostiam v Afrike a na Blízkom východe najmenej od roku 2017.
Kampaň nazvaná „BackdoorDiplomacy“ zahŕňa zacielenie na slabé miesta v zariadeniach vystavených internetu, ako sú webové servery, s cieľom vykonávať celý rad kybernetických hackerských aktivít, vrátane laterálneho presunu cez sieť s cieľom nasadiť vlastný implantát s názvom Turian, ktorý je schopný exfiltrovať citlivé údaje uložené v vymeniteľné médiá.
“BackdoorDiplomacy zdieľa taktiku, techniky a postupy s inými skupinami so sídlom v Ázii. Turian pravdepodobne predstavuje ďalšiu fázu vývoja Quarianu, zadného vrátka, ktorý sa naposledy používal v roku 2013 proti diplomatickým cieľom v Sýrii a USA,” povedal Jean-Ian Boutin, vedúci výskumu hrozieb v slovenskej firme ESET, ktorá sa zaoberá kybernetickou bezpečnosťou.
Navrhnuté tak, aby sa zamerali na oboje Windows a operačné systémy Linux, multiplatformová skupina vyčleňuje riadiace rozhrania pre sieťové zariadenia a servery s portami vystavenými internetu, pričom pravdepodobne využíva neopravené zraniteľnosti na nasadenie webového shellu China Chopper na počiatočný prístup, pričom ho používa na vykonanie prieskumu a inštaláciu zadných vrátok.
Cielené systémy zahŕňajú zariadenia F5 BIG-IP (CVE-2020-5902), servery Microsoft Exchange a ovládacie panely webhostingu Plesk. Obete boli identifikované na ministerstvách zahraničných vecí viacerých afrických krajín, ako aj v Európe, na Strednom východe a v Ázii. Okrem toho boli zasiahnutí aj poskytovatelia telekomunikačných služieb v Afrike a najmenej jedna charitatívna organizácia na Blízkom východe.
“V každom prípade operátori použili podobné taktiky, techniky a postupy (TTP), ale upravili používané nástroje, dokonca aj v blízkych geografických oblastiach, čo pravdepodobne sťažilo sledovanie skupiny,” uviedli vedci. Predpokladá sa tiež, že BackdoorDiplomacy sa prekrýva s predtým nahlásenými kampaňami prevádzkovanými čínsky hovoriacou skupinou Kaspersky, ktoré sú označené ako „CloudComputating“.
Okrem funkcií na zhromažďovanie systémových informácií, vytváranie snímok obrazovky a vykonávanie operácií so súbormi výskumníci spoločnosti ESET uviedli, že sieťový šifrovací protokol Turian je takmer identický s protokolom, ktorý používa WhiteBird, zadné vrátka C++ prevádzkované ázijským aktérom hrozieb menom Calypso, ktorý bol nainštalovaný. v rámci diplomatických organizácií v Kazachstane a Kirgizsku av rovnakom časovom rámci ako BackdoorDiplomacy.
