BackdoorDiplomacy Hacker Group lavora con le backdoor quarian e turian
BackdoorDiplomacy è un gruppo di criminalità informatica, che ha utilizzato una serie di backdoor per infettare i sistemi Windows e Linux. Il primo Trojan backdoor che hanno scatenato su Internet si chiama Quarian, che è stato successivamente aggiornato e rielaborato per creare il Turian Backdoor , la più recente minaccia abusata dai criminali BackdoorDiplomacy. Nella loro attuale campagna, la backdoor turian è stata impiegata in attacchi contro obiettivi diplomatici in Africa e Medio Oriente. Sebbene i loro attacchi abbiano recentemente attirato molta attenzione, gli esperti ritengono che le campagne del gruppo potrebbero risalire almeno al 2017.
Sorprendentemente, i criminali non si affidano alle e-mail di spear-phishing come principale vettore di infezione. Mirano invece a sfruttare vulnerabilità e punti deboli senza patch nei dispositivi connessi a Internet. Una volta che un sistema viene compromesso con successo, gli aggressori di solito scelgono tra questi due approcci:
- Distribuiscono la backdoor turian o quarian.
- Saltano la backdoor e installano invece applicazioni pubbliche di accesso remoto.
Una delle proprietà sorprendenti delle campagne di BackdoorDiplomacy è che prendono di mira non solo i dispositivi Windows ma anche Linux. Gli strumenti e le vulnerabilità pubblicamente disponibili di cui abusano sono Miikatz, EarthWorm, NetCat e la raccolta di exploit NSA: DoublePulsar, EternalBlue ed EternalRocks.
Lo scopo principale degli attacchi di BackdoorDiplomacy sembra essere la raccolta di dati: oltre a cercare di recuperare file e screenshot del dispositivo compromesso, i loro Trojan backdoor tentano anche di raccogliere dati da dispositivi di archiviazione rimovibili.
BackdoorDiplomacy è uno dei gruppi appena identificati per prendere di mira le entità in Africa e Medio Oriente. Sebbene i loro impianti e le loro tecniche di attacco si sovrappongano a quelli di altri gruppi di Advanced Persistent Threat (APT), è troppo presto per dire con certezza se sono un sottogruppo di uno dei grandi nomi nel campo del crimine informatico.