Хакерская группировка BackdoorDiplomacy, как указывается в отчете ESET, занимается кибершпионажем и направлена на Министерства иностранных дел и телекоммуникационные компании в Африке и на Ближнем Востоке, как минимум с 2017 года. Для начала атак группа использует уязвимые устройства, которые доступны в Интернете, например, веб-серверы и интерфейсы управления сетевым оборудованием. После проникновения в систему операторы группы используют открытые инструменты для сканирования среды и перемещения по сети. Доступ к системе устанавливается двумя способами: с помощью кастомного бэкдора, который называется Turian и производного от Quarian бэкдора, или, в режиме исключения, с помощью определенных открытых инструментов для удаленного доступа.
В нескольких случаях группа замечена при нацеливании на съемные носители для сбора и выноса данных. Помимо этого, группа нацелена на операционные системы Windows и Linux.
Связи с другими известными группами BackdoorDiplomacy:
- BackdoorDiplomacy имеет общие черты с несколькими азиатскими группами, особенно с Quarian и Turian.
- Группа, известная как "CloudComputating", проанализированная Sophos, также связана с BackdoorDiplomacy, в частности, с использованием бэкдора Turian.
- Несколько жертв были скомпрометированы с использованием Rehashed Rat и MirageFox-APT15, зафиксированных Fortinet и Intezer соответственно. Операторы BackdoorDiplomacy использовали свою конкретную форму DLL Search-Order Hijacking.
Жертвами группы стали Министерства иностранных дел нескольких африканских стран, а также Европы, Ближнего Востока и Азии. Кроме того, цели включают телекоммуникационные компании в Африке и, по меньшей мере, одну благотворительную организацию на Ближнем Востоке. Операторы использовали схожие тактики, техники и процедуры (TTP), но модифицировали используемые инструменты, даже в пределах близких географических регионов, вероятно, чтобы сделать слежение за группой более сложным. В отчете также представлена карта жертв по странам и вертикалям.
Стоит отметить, что Quarian была использована для нападения на Министерство иностранных дел Сирии в 2012 году и Государственный департамент США в 2013 году. Также отмечается, что Turian был производным от Quarian.
Отчет также говорит о том, что схема шифрования сети, которую использует BackdoorDiplomacy, схожа с Backdoor.Whitebird.1, которая использовалась для нападения на правительственные институты в Казахстане и Кыргызстане, что совпадает со временным промежутком с активностью BackdoorDiplomacy.
Итак, хакерская группировка BackdoorDiplomacy занимается кибершпионажем, и ее основная цель - Министерства иностранных дел и телекоммуникационные компании в Африке и на Ближнем Востоке. Группа использует уязвимые интернет-устройства, такие как веб-серверы и интерфейсы управления сетевым оборудованием, для начала атак. Операторы группы используют открытые инструменты для сканирования среды и перемещения по сети, а также различные бэкдоры для установки интерактивного доступа.