Στοιχεία για μια μέχρι τώρα άγνωστη εκστρατεία κυβερνοκατασκοπείας που φέρεται να συμπεριλαμβάνει επιθέσεις κατά κυβερνητικών στόχων και παρόχων τηλεπικοινωνιακών υπηρεσιών στην Αφρική και την Μέση Ανατολή, έφεραν την περασμένη εβδομάδα στο φως της δημοσιότητας ερευνητές της ESET, συνδέοντας τη με την συλλογικότητα hackers “Backdoor Diplomacy”.

Η εκστρατεία, που πιθανότατα ξεκίνησε το 2017, φαίνεται να έχει κοινά σημεία με άλλες παρόμοιες επιχειρήσεις του παρελθόντος, πίσω από τις οποίες εικάζεται ότι βρίσκονται hackers που χρησιμοποιούν την κινεζική γλώσσα και αποκαλούνται “CloudComputating” από την Kaspersky.

Share

Κύριο χαρακτηριστικό των επιθέσεων, είναι η χρήση του backdoor Turian, το οποίο είναι ικανό να πραγματοποιήσει υποκλοπή ευαίσθητων πληροφοριών από αφαιρούμενα και άλλα μέσα αποθήκευσης, να λάβει στιγμιότυπα οθόνης, αλλά και να διαγράψει δεδομένα από το σύστημα αρχείων. Το Turian εκτιμάται ότι αποτελεί μετεξέλιξη του Quarian, του οποίου η τελευταία γνωστή χρήση έγινε το 2013 κατά διπλωματικών φορέων στην Συρία και τις ΗΠΑ. Το Turian μπορεί να μολύνει τόσο συστήματα με λειτουργικό Windows όσο και Linux.

Οι hackers στοχεύουν συνήθως περιβάλλοντα διαχείρισης δικτυακού εξοπλισμού και διακομιστές με εκτεθειμένα στο διαδίκτυο ports, πιθανότατα εκμεταλλευόμενοι κενά ασφαλείας που δεν έχουν καλυφθεί με τα απαραίτητα patches, προκειμένου αρχικά να εγκαταστήσουν το κέλυφος China Chopper με στόχο την επίτευξη πρόσβασης, ώστε στη συνέχεια να εισάγουν το Turian.

Σύμφωνα με τους ερευνητές της ESET, το πρωτόκολλο κρυπτογράφησης δικτύου του Turian είναι σχεδόν πανομοιότυπο με αυτό του Whitebird, ενός backdoor σε γλώσσα C++, που χρησιμοποιείται από την ασιατική ομάδα Calypso και έχει χρησιμοποιηθεί κατά διπλωματικών οργανισμών στο Καζακστάν και την Κιργιζία.

• BackdoorDiplomacy: Upgrading from Quarian to Turian, στην ESET

• This new hacking group has a nasty surprise for African, Middle East diplomats

Διαβάστε ακόμα:

• The Daily Swig | John Leyden: Behind the Great Firewall: Chinese cyber-espionage adapts to the post-Covid world with stealthier attacks

• South China Morning Post | Coco Feng: More than half of foreign cyberattacks against China in 2019 originated in the US, China report says

  Share