BackdoorDiplomacy, nieuwe APT-groep, valt diplomaten in Afrika en het Midden-Oosten aan, zegt ESET Research
“BackdoorDiplomacy deelt tactieken, technieken en procedures met andere groepen in Azië. Turian is waarschijnlijk een evolutie naar de volgende stap van Quarian, de backdoor die voor het laatst gezien werd in 2013 toen het tegen diplomatieke doelen in Syrië en de Verenigde Staten werd gebruikt,”aldus Jean-Ian Boutin, Head of Threat Research bij ESET, en die voor dit onderzoek samenwerkte met Adam Burgher, senior analist in Threat Intelligence bij ESET.
Het netwerkcoderingsprotocol van Turian is bijna identiek aan dat van Whitebird, een backdoor die beheerd wordt door Calypso, een andere groep uit Azië. Whitebird werd binnen diplomatieke organisaties in Kazachstan en Kirgizië ingezet in dezelfde periode als BackdoorDiplomacy (2017-2020).
Slachtoffers van BackdoorDiplomacy zijn ontdekt bij ministeries van Buitenlandse Zaken in verschillende Afrikaanse landen, maar ook in Europa, het Midden-Oosten en Azië. De andere doelwitten zijn telecombedrijven in Afrika en minstens één liefdadigheidsinstelling in het Midden-Oosten. In al deze gevallen gebruikten operatoren vergelijkbare tactieken, technieken en procedures (TTP’s), maar zelfs in geografisch nabije regio’s wijzigden ze de gebruikte tools, zodat het moeilijker werd om de groep te volgen.
BackdoorDiplomacy is ook een platformonafhankelijke groep die zich zowel op Windows- als Linux-systemen richt. De groep richt zich op servers met poorten blootgesteld aan internet en die waarschijnlijk gebruikmaken van slecht geïmplementeerde beveiliging bij bestandsdownloads of niet-gepatchte kwetsbaarheden – in één geval heeft dit geleid tot een webshell met de naam China Chopper, die door verschillende groepen wordt gebruikt.
Een subset van slachtoffers is het doelwit geweest van uitvoerbare bestanden voor het verzamelen van gegevens ontwikkeld om te zoeken naar verwisselbare media (wellicht USB-drives). Het implantaat controleert regelmatig naar dergelijke schijven en probeert, wanneer het de plaatsing van verwisselbare media detecteert, alle bestanden op een met een wachtwoord beveiligd archief te kopiëren.
BackdoorDiplomacy kan van zijn slachtoffers systeeminformatie stelen, screenshots maken alsook bestanden schrijven, verplaatsen of verwijderen.
Voor meer technische details over Backdoor Diplomacy, lees de blog “BackdoorDiplomacy: Upgrading from Quarian to Turian” op www.welivesecurity.com. Voor het laatste nieuws over Reseach, volg ook ESET Research on Twitter