14/06/21
Специалисты компании ESET обнаружили новую специализирующуюся на кибершпионаже хакерскую группировку, которая последние четыре года атакует министерства иностранных дел в странах Африки, Азии, Европы и Ближнего Востока.
Помимо дипломатических организаций, список жертв APT, получившей название BackdoorDiplomacy, включает телекоммуникационные компании в Африке и по меньшей мере одну благотворительную организацию на Ближнем Востоке.
В основном группировка компрометирует сети организаций с помощью уязвимостей в web-серверах и административных интерфейсах сетевого оборудования (устройства F5 BIG-IP, почтовые серверы Microsoft Exchange, контрольные панели Plesk).
Получив доступ к целевой системе, хакеры устанавливают open source- сканнеры для продвижения по сети, а затем устанавливают собственное вредоносное ПО, которое исследователи назвали Turian. Вредонос существует в версиях для Windows и Linux и работает как бэкдор, позволяющий атакующим взаимодействовать с системой и похищать данные.
В некоторых случаях группировка устанавливала вредоносную программу с целью заражения съемных носителей, например, USB-накопителей, для проникновения в физически изолированные сети.
Специалисты не отнесли BackdoorDiplomacy к какой-либо стране, но ряд фактов позволяет предположить, что группировка может быть связана с Китаем. На это указывает, в частности, использование механизмов компрометации, ранее замеченных в атаках связываемых с КНР группировок, а также тот факт, что бэкдор Turian основан на Quarian – вредоносе, применявшимся в атаках китайских хакеров.
