Milano, 10 giugno 2021 - ESET, leader globale nel mercato della cybersecurity, ha scoperto BackdoorDiplomacy, un nuovo gruppo APT che prende di mira principalmente i ministeri degli Affari Esteri in Medio Oriente e in Africa e, meno frequentemente, le aziende di telecomunicazioni. Gli attacchi di norma iniziano sfruttando le applicazioni vulnerabili esposte a internet sui server web al fine di installare una backdoor personalizzata che ESET ha denominato Turian. BackdoorDiplomacy può rilevare i supporti rimovibili, presumibilmente unità flash USB, e copiare il loro contenuto nel cestino dell'unità principale. La ricerca è stata presentata in anteprima esclusiva alla conferenza annuale ESET World di questa settimana.
"BackdoorDiplomacy condivide tattiche, tecniche e procedure con altri gruppi basati in Asia. Turian rappresenta probabilmente un'evoluzione di Quarian, la backdoor osservata per l'ultima volta in uso nel 2013 contro obiettivi diplomatici in Siria e negli Stati Uniti", ha spiegato Jean-Ian Boutin, Head of Threat Research di ESET, che ha lavorato a questa indagine con Adam Burgher, Senior Threat Intelligence Analyst di ESET. Il protocollo di crittografia di rete di Turian è quasi identico a quello utilizzato da Whitebird, una backdoor gestita da Calypso, un altro gruppo con sede in Asia. Whitebird è stato distribuito all'interno di organizzazioni diplomatiche in Kazakistan e Kirghizistan nello stesso periodo di BackdoorDiplomacy (2017-2020).
Le vittime di BackdoorDiplomacy sono state identificate nei Ministeri degli Affari Esteri di diversi Paesi africani, così come in Europa, Medio Oriente e Asia. Altri obiettivi includono società di telecomunicazioni in Africa, e almeno un ente di beneficenza in Medio Oriente. In ogni caso, gli operatori hanno impiegato tattiche, tecniche e procedure (TTP) simili, modificando però gli strumenti utilizzati, anche all'interno di aree geografiche vicine, probabilmente per rendere più difficile il monitoraggio del gruppo.
BackdoorDiplomacy è anche un gruppo multipiattaforma che colpisce sia i sistemi Windows che Linux. Ha come obiettivo i server con porte esposte a internet, che attacca, con molta probabilità, sfruttando falle di sicurezza del file-upload o vulnerabilità non patchate - in un caso portando a una webshell, chiamata China Chopper, utilizzata da vari gruppi. Gli hacker hanno tentato di mascherare i loro backdoor dropper ed eludere il rilevamento.
Un sottogruppo di vittime è stato colpito con eseguibili di raccolta dati progettati per cercare supporti rimovibili (molto probabilmente unità flash USB). L’innesto esegue la scansione di routine per queste unità e, dopo aver rilevato l'inserimento di supporti rimovibili, tenta di copiare tutti i file in un archivio protetto da password. BackdoorDiplomacy è in grado di rubare le informazioni di sistema della vittima, fare screenshot e scrivere, spostare o cancellare file.
Per maggiori dettagli tecnici su BackdoorDiplomacy, consultare il blogpost "BackdoorDiplomacy: Aggiornamento da Quarian a Turian" su WeLiveSecurity. Tutte le ultime notizie sono reperibili seguendo ESET Research su Twitter.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende.
A proposito di ESET
Da oltre 30 anni, ESET® è leader nello sviluppo di software e servizi di sicurezza IT per proteggere aziende, infrastrutture strategiche e utenti finali in tutto il mondo da minacce digitali sempre più sofisticate. Con soluzioni che spaziano dalla sicurezza di endpoint e dispositivi mobili, alla crittografia e all'autenticazione a due fattori, i prodotti ESET offrono prestazioni elevate e sono facili da usare, proteggono e monitorano in modo discreto 24/7 i propri clienti, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro ed evitare interruzioni alle attività aziendali. Le minacce in continua evoluzione necessitano di un’azienda di sicurezza IT all’avanguardia, che garantisca un uso sicuro della tecnologia, garanzia che viene dai centri di ricerca e sviluppo ESET in tutto il mondo, che lavorano per rendere più sicuro il nostro futuro. Per ulteriori informazioni, visitate www.eset.com o seguite ESET sui nuovi canali italiani di LinkedIn, Facebooke Twitter.
Per ulteriori informazioni
Grandangolo Communications
Contatti Stampa, Rosy Auricchio
Tel. 02 4771.8627 email rauricchio@grandangolo.it