BackdoorDiplomacy Hacker Group arbejder med Quarian og Turian Backdoors

BackdoorDiplomacy er en cyberkriminalitetsgruppe, der har brugt en række bagdøre til at inficere Windows og Linux-systemer. Den første bagdør-trojan, de udgav på Internettet, hedder Quarian, som senere blev opdateret og omarbejdet for at skabe Turian Backdoor , den seneste trussel misbrugt af BackdoorDiplomacy-kriminelle. I deres nuværende kampagne var den tyrkiske bagdør ansat i angreb mod diplomatiske mål i Afrika og Mellemøsten. Mens deres angreb for nylig tiltrak sig stor opmærksomhed, mener eksperter, at gruppens kampagner måske dateres tilbage til mindst 2017.

Overraskende er de kriminelle ikke afhængige af spear-phishing-e-mails for at være deres primære infektionsvektor. I stedet sigter de mod at udnytte upatchede sårbarheder og svagheder i enheder, der er forbundet til Internettet. Når et system er kompromitteret med succes, vælger angriberne normalt mellem disse to tilgange:

• De indsætter den tyrkiske eller quarian bagdør.
• De springer bagdøren over og installerer i stedet offentlige fjernadgangsprogrammer.

En af de overraskende egenskaber ved BackdoorDiplomacy's kampagner er, at de ikke kun er rettet mod Windows, men også Linux-enheder. De offentligt tilgængelige værktøjer og sårbarheder, de misbruger, er Miikatz, EarthWorm, NetCat og indsamlingen af NSA-exploits - DoublePulsar, EternalBlue og EternalRocks.

Det primære formål med BackdoorDiplomacy's angreb ser ud til at være dataindsamling - bortset fra at prøve at hente filer og skærmbilleder af den kompromitterede enhed, forsøger deres bagdør Trojans også at indsamle data fra flytbare lagerenheder.

BackdoorDiplomacy er en af de nyligt identificerede grupper, der målretter mod enheder i Afrika og Mellemøsten. Mens deres implantater og angrebsteknikker overlapper hinanden med andre APT-grupper (Advanced Persistent Threat), er det for tidligt med sikkerhed at sige, om de er en undergruppe til et af de store navne inden for cyberkriminalitet.