Eset, yeni APT (Gelişmiş Kalıcı Tehdit) grubu BackdoorDiplomacy'yi gün yüzüne çıkardı. Bu grup, Orta Doğu'daki ve Afrika'daki dış ilişkiler bakanlıklarını ve telekomünikasyon şirketlerini hedef alıyor. BackdoorDiplomacy, özellikle USB flash sürücüler başta olmak üzere çıkarılabilir ortamı algılayabiliyor ve bu ortamdaki içerikleri ana sürücünün geri dönüşüm kutusuna kopyalayabiliyor. Web sunucularında internete açık olan, kolay ihlal edilebilir uygulamalara sızıyor ve bu uygulamalara Eset'in Turian adını verdiği özel bir arka kapı yüklüyor.
APT, bir kişi veya grubun bir ağa yetkisiz erişim sağladığı ve uzun bir süre boyunca algılanamadığı bilgisayar ağı saldırısı olarak tanımlanıyor. APT grupları, sofistike siber saldırılar gerçekleştirebilecek hackerlardan oluşuyor. Büyük bir kurum, kuruluş veya politik grupları hedefliyorlar. Genellikle devlet destekli olan gelişmiş tehditlerde son birkaç yıl içerisinde devlet desteğinde olmayan APT saldırıları da görülmeye başlandı.
Diplomatik kuruluşlara sızıyorlar
Eset Tehdit İstihbarat Analisti Adam Burgher konuyla alakalı şunları aktardı: "BackdoorDiplomacy, Asya'da bulunan diğer gruplarla aynı taktikleri, teknikleri ve prosedürleri kullanıyor. Turian, Suriye'deki ve Amerika'daki diplomatları hedef alan ve en son 2013 yılında görülen Quarian arka kapısının evrim geçirmiş, yeni aşamasına benziyor.
Telekomünikasyon şirketleri de hedefte
Avrupa, Orta Doğu ve Asya'nın yanı sıra çeşitli Afrika ülkelerinin dış işleri bakanlıklarında BackdoorDiplomacy'nin kurbanları olduğu keşfedildi. Ayrıca Afrika'daki ve Orta Doğu ülkelerinin en az birindeki telekomünikasyon şirketleri de hedefler arasında. Tüm olaylarda operatörler benzer taktikleri, teknikleri ve prosedürleri (TTP'ler) kullansa da kullanılan araçlar farklılık gösteriyordu, hatta coğrafi açıdan birbirine yakın bölgelerde grubun izini sürmek daha zordu.
Aynı zamanda BackdoorDiplomacy, Windows ve Linux sistemlerini hedef alan platformlar arası bir grup. Grup, internete açık bağlantı noktalarına sahip sunucuları hedef alıyor ve genellikle zayıf bir şekilde şifrelenmiş dosya yükleme güvenliğinden veya yamalanmamış güvenlik açıklarından yararlanıyor. Veri toplama yürütülebilir dosyaları, kurbanların alt kümelerini hedef alır. Bu dosyalar çıkarılabilir ortamı (çoğunlukla USB flash sürücüler) aramak üzere tasarlanmıştır. İmplant, rutin olarak bu gibi sürücüleri tarar ve bu taramalarda çıkarılabilir ortamın takıldığını algıladığında sürücülerdeki tüm dosyaları şifreyle korunan bir arşive kopyalamaya çalışır. BackdoorDiplomacy kurbanın sistem bilgilerini çalabilir, ekran görüntüsü alabilir, dosyaları yazabilir, dosyaların yerini değiştirebilir veya silebilir.