Новая APT-группировка атакует дипломатов в Африке и на Ближнем Востоке

Новая APT-группировка атакует дипломатов в Африке и на Ближнем Востоке

BackdoorDiplomacy компрометирует сети организаций с помощью уязвимостей в web-серверах и админинтерфейсах сетевого оборудования.

Специалисты компании ESET обнаружили новую специализирующуюся на кибершпионаже хакерскую группировку, которая последние четыре года атакует министерства иностранных дел в странах Африки, Азии, Европы и Ближнего Востока.

Помимо дипломатических организаций, список жертв APT, получившей название BackdoorDiplomacy, включает телекоммуникационные компании в Африке и по меньшей мере одну благотворительную организацию на Ближнем Востоке.

В основном группировка компрометирует сети организаций с помощью уязвимостей в web-серверах и административных интерфейсах сетевого оборудования (устройства F5 BIG-IP, почтовые серверы Microsoft Exchange, контрольные панели Plesk).

Получив доступ к целевой системе, хакеры устанавливают open source- сканнеры для продвижения по сети, а затем устанавливают собственное вредоносное ПО, которое исследователи назвали Turian. Вредонос существует в версиях для Windows и Linux и работает как бэкдор, позволяющий атакующим взаимодействовать с системой и похищать данные.

В некоторых случаях группировка устанавливала вредоносную программу с целью заражения съемных носителей, например, USB-накопителей, для проникновения в физически изолированные сети.

Специалисты не отнесли BackdoorDiplomacy к какой-либо стране, но ряд фактов позволяет предположить, что группировка может быть связана с Китаем. На это указывает, в частности, использование механизмов компрометации, ранее замеченных в атаках связываемых с КНР группировок, а также тот факт, что бэкдор Turian основан на Quarian – вредоносе, применявшимся в атаках китайских хакеров.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь