Skip to main content
tech2024 03 01 at 08 14 33 TM 460
Hermes Banner 1
DIGITAL TV 186
securityreport e mag odhgos 2021
11 Ιουνίου 2021 10:37

Η ESET Research ανακάλυψε τη νέα ομάδα APT BackdoorDiplomacy που επιτίθεται σε διπλωμάτες στην Αφρική και τη Μέση Ανατολή

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2Faee173df98a5b74ebe361beb2b054505 XL

Η ESET Research εντόπισε την ομάδα BackdoorDiplomacy, μια νέα ομάδα APT (advanced persistent threat) που έχει ως στόχο κυρίως Υπουργεία Εξωτερικών στη Μέση Ανατολή και την Αφρική, και λιγότερο συχνά, εταιρείες τηλεπικοινωνιών. Οι κακόβουλες επιθέσεις συνήθως εκμεταλλεύονται ευάλωτες εφαρμογές που εκτελούνται σε web servers, προκειμένου να εγκαταστήσουν ένα backdoor  που η ESET ονόμασε Turian.

Η ESET Research εντόπισε την ομάδα BackdoorDiplomacy, μια νέα ομάδα APT (advanced persistent threat) που έχει ως στόχο κυρίως Υπουργεία Εξωτερικών στη Μέση Ανατολή και την Αφρική, και λιγότερο συχνά, εταιρείες τηλεπικοινωνιών. Οι κακόβουλες επιθέσεις συνήθως εκμεταλλεύονται ευάλωτες εφαρμογές που εκτελούνται σε web servers, προκειμένου να εγκαταστήσουν ένα backdoor  που η ESET ονόμασε Turian. Η ομάδα BackdoorDiplomacy μπορεί και ανιχνεύει αποσπώμενα μέσα αποθήκευσης, πιθανότατα μονάδες USB και αντιγράφει το περιεχόμενό τους στον κάδο ανακύκλωσης της κύριας μονάδας δίσκου. Η έρευνα παρουσιάστηκε αποκλειστικά στο ετήσιο συνέδριο ESET World αυτήν την εβδομάδα.

«Η ομάδα BackdoorDiplomacy χρησιμοποιεί παρόμοιες κακόβουλες τακτικές, τεχνικές και διαδικασίες με αυτές που χρησιμοποιούν άλλες ομάδες που βρίσκονται στην Ασία. Το Turian πιθανότατα αποτελεί ένα επόμενο στάδιο εξέλιξης του Quarian, του κακόβουλου λογισμικού που χρησιμοποιήθηκε για τελευταία φορά το 2013 για επιθέσεις σε διπλωματικούς στόχους στη Συρία και τις Ηνωμένες Πολιτείες», λέει ο Jean-Ian Boutin, επικεφαλής Threat Research της ESET, ο οποίος συνεργάστηκε για αυτήν την έρευνα με τον Adam Burgher, Senior Threat Intelligence Analyst της ESET. Το πρωτόκολλο κρυπτογράφησης δικτύου του Turian είναι σχεδόν πανομοιότυπο με αυτό του Whitebird, του κακόβουλου λογισμικού που χρησιμοποιεί η ομάδα Calypso που δρα από την Ασία. Το Whitebird έβαλε στο στόχαστρο διπλωματικούς οργανισμούς στο Καζακστάν και το Κιργιζιστάν κατά το ίδιο χρονικό διάστημα με την BackdoorDiplomacy (2017-2020).

Θύματα της ομάδας BackdoorDiplomacy έχουν εντοπιστεί σε Υπουργεία Εξωτερικών πολλών αφρικανικών χωρών, καθώς και στην Ευρώπη, τη Μέση Ανατολή και την Ασία. Πρόσθετοι στόχοι περιλαμβάνουν εταιρείες τηλεπικοινωνιών στην Αφρική και τουλάχιστον μία φιλανθρωπική οργάνωση στη Μέση Ανατολή. Σε κάθε περίπτωση, οι κυβερνοεγκληματίες χρησιμοποίησαν παρόμοιες τακτικές, τεχνικές και διαδικασίες, αλλά τροποποίησαν τα εργαλεία που χρησιμοποιήθηκαν, ακόμη και σε ίδιες γεωγραφικές περιοχές, πιθανόν για να κάνουν την παρακολούθηση της ομάδας πιο δύσκολη.

Η BackdoorDiplomacy είναι μια ομάδα που δραστηριοποιείται σε πολλές πλατφόρμες, στοχεύοντας  σε συστήματα Windows αλλά και Linux. Η ομάδα επιτίθεται σε servers με θύρες εκτεθειμένες στο internet, πιθανότατα εκμεταλλεύεται την ανεπαρκώς εφαρμοζόμενη ασφάλεια μεταφόρτωσης αρχείων ή ευπάθειες που δεν έχουν ενημερωθεί – σε μια περίπτωση οδηγεί σε ένα webshell, που ονομάζεται China Chopper και χρησιμοποιείται από διάφορες ομάδες. Οι κυβερνοεγκληματίες προσπάθησαν να συγκαλύψουν τα ίχνη τους και να αποφύγουν τον εντοπισμό.

Ένα υποσύνολο των θυμάτων έγινε στόχος με εκτελέσιμα συλλογής δεδομένων, που είχαν σχεδιαστεί για να αναζητήσουν αποσπώμενα μέσα (πιθανότατα μονάδες USB). Το κακόβουλο λογισμικό σαρώνει τακτικά για τέτοιες μονάδες δίσκου και, κατά την ανίχνευση της εισαγωγής αποσπώμενων μέσων, επιχειρεί να αντιγράψει όλα τα αρχεία που υπάρχουν σε αυτά σε ένα αρχείο με κωδικό πρόσβασης. Η  BackdoorDiplomacy έχει τη δυνατότητα να κλέβει τις πληροφορίες συστήματος του θύματος, να λαμβάνει στιγμιότυπα οθόνης και να γράφει, να μετακινεί ή να διαγράφει αρχεία.

Για περισσότερες τεχνικές λεπτομέρειες για την ομάδα BackdoorDiplomacy, μπορείτε να διαβάσετε το blogpost “BackdoorDiplomacy: Upgrading from Quarian to Turian” στο WeLiveSecurity. Ακολουθήστε την ESET Research στο Twitter για τα τελευταία νέα.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report Μαρτίου

    Security Report Μαρτίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Μαρτίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος του Security Report θα βρείτε ενδιαφέροντα ...
  • 9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    Ο κλάδος της φιλοξενίας εξελίσσεται ραγδαία, ιδίως στη χώρα μας, όπου καθημερινά εκατοντάδες ξενοδοχεία προσφέρουν μοναδικές εμπειρίες στους επισκέπτες και στους τουρίστες που καταφθάνουν από το ε...
  • Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Η Ελληνικός Κεντρικός Σταθμός Α.Ε. – ΕΡΜΗΣ διασφαλίζει τη διαθεσιμότητα και την αδιάλειπτη παροχή των 24/7 Υπηρεσιών Κέντρου Λήψης Ηλεκτρονικών Σημάτων, για την αντιμετώπιση απρόσμενων καταστάσεων...
  • 11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    Μία ολοκληρωμένη σειρά 11 Wi-Fi καμερών της ANGA, καθεμία από τις οποίες διαθέτει ένα μοναδικό σύνολο χαρακτηριστικών προσαρμοσμένων για να καλύψει διαφορετικές ανάγκες και προτιμήσεις, θα βρείτε ...
  • 3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    H ΗΛΚΑ Α.Ε. διαθέτει την πληρέστερη γκάμα all in one CCTV testers τελευταίας γενεάς, με προϊόντα κορυφαίων προδιαγραφών, σε ασυναγώνιστες τιμές. Τα CCTV testers είναι απαραίτητα εργαλεία για τον ε...
  • TP-Link VIGI C540-W & C340 V1/V2

    TP-Link VIGI C540-W & C340 V1/V2

    Η πρωτοποριακή σειρά προϊόντων VIGI της TP-Link έχει σχεδιαστεί για εγκαταστάσεις μικρομεσαίας κλίμακας και περιλαμβάνει κάμερες υψηλής ανάλυσης με προηγμένα χαρακτηριστικά που εξασφαλίζουν καθαρή...