BackdoorDiplomacy Hacker Group współpracuje z Backdoorami Quarian i Turian
BackdoorDiplomacy to grupa cyberprzestępcza, która wykorzystuje szereg tylnych drzwi do infekowania systemów Windows i Linux. Pierwszy trojan typu backdoor, który uwolnili w Internecie, nazywa się Quarian, który został później zaktualizowany i przerobiony w celu stworzenia Backdoora Turian , najnowszego zagrożenia wykorzystywanego przez przestępców BackdoorDiplomacy. W ich obecnej kampanii backdoor turian został wykorzystany w atakach na cele dyplomatyczne w Afryce i na Bliskim Wschodzie. Chociaż ich ataki przyciągnęły ostatnio dużo uwagi, eksperci uważają, że kampanie grupy mogą sięgać co najmniej 2017 roku.
Co zaskakujące, przestępcy nie polegają na e-mailach typu spear-phishing jako głównym wektorze infekcji. Zamiast tego mają na celu wykorzystanie niezałatanych luk i słabości w urządzeniach podłączonych do Internetu. Po udanym zhakowaniu systemu napastnicy zwykle wybierają między tymi dwoma podejściami:
- Wdrażają backdoory turian lub quarian.
- Pomijają backdoora i zamiast tego instalują publiczne aplikacje zdalnego dostępu.
Jedną z zaskakujących właściwości kampanii BackdoorDiplomacy jest to, że są one skierowane nie tylko na urządzenia z systemem Windows, ale również z systemem Linux. Publicznie dostępne narzędzia i luki, które wykorzystują, to Miikatz, EarthWorm, NetCat oraz zbiór exploitów NSA – DoublePulsar, EternalBlue i EternalRocks.
Głównym celem ataków BackdoorDiplomacy wydaje się być zbieranie danych – poza próbą pobrania plików i zrzutów ekranu z zaatakowanego urządzenia, ich trojany typu backdoor próbują również zbierać dane z wymiennych urządzeń pamięci masowej.
BackdoorDiplomacy to jedna z nowo zidentyfikowanych grup docelowych dla podmiotów w Afryce i na Bliskim Wschodzie. Chociaż ich implanty i techniki ataków pokrywają się z implantami innych grup Zaawansowanych Trwałych Zagrożeń (APT), jest zbyt wcześnie, aby stwierdzić, czy są podgrupą jednego z największych nazwisk w dziedzinie cyberprzestępczości.