Компанія ESET – лідер у галузі інформаційної безпеки – повідомляє про виявлення нової APT-групи BackdoorDiplomacy, яка націлена на міністерства закордонних справ та телекомунікаційні компанії. Для встановлення спеціального бекдора Turian кіберзлочинці, як правило, використовують уразливі додатки на веб-серверах. Зловмисники можуть виявляти змінні носії, зокрема USB-накопичувачі, та копіювати їх вміст на основний диск.
Серед цілей групи BackdoorDiplomacy – міністерства закордонних справ кількох країн в Африці, а також у Європі, на Близькому Сході та в Азії. Крім цього, під прицілом кіберзлочинців опинились телекомунікаційні компанії в Африці та одна благодійна організація на Близькому Сході. У кожному випадку зловмисники використовували схожі тактики та прийоми, змінюючи інструменти навіть в межах близьких географічних регіонів, що, ймовірно, ускладнило відстеження шкідливої активності.
«BackdoorDiplomacy використовує спільні тактики та прийоми інфікування з іншими групами кіберзлочинців. Зокрема Turian, ймовірно, є наступною версією бекдора Quarian, який востаннє використовувався у 2013 році в атаках на дипломатичні цілі у Сирії та США», – коментує Жан-Ян Бутен, керівник дослідницької лабораторії компанії ESET.
Мережевий протокол шифрування Turian майже ідентичний до протоколу, який використовується бекдором Whitebird групи Calypso. Whitebird був розгорнутий у мережі дипломатичних організацій Казахстану та Киргизстану у той самий час, що і бекдор BackdoorDiplomacy (2017-2020).
Атаки BackdoorDiplomacy спрямовані на системи як Windows, так і Linux. Група кіберзлочинців націлена на сервери з портами, доступними в Інтернеті, ймовірно, використовуючи недостатню захищеність завантаження файлів або невиправлені уразливості.
Під час деяких атак використовувались виконувані файли для збору даних, які були розроблені для пошуку змінних носіїв (зокрема, USB-накопичувачів). Шкідливий код регулярно сканує диски і, виявивши змінний носій, намагається скопіювати всі наявні файли в архів, захищений паролем. Група BackdoorDiplomacy може викрадати інформацію про системи, робити знімки екрана, а також записувати, переміщати або видаляти файли.
Рис. 1. Жертви атак групи BackdoorDiplomacy.
Джерело ESET
З питань придбання рішень ESET звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua