Os investigadores da ESET, empresa líder em cibersegurança, descobriram uma nova campanha de cibercrime por parte de um grupo APT ("Advanced Persistent Threat") a que chamaram BackdoorDiplomacy. Este grupo tem como alvos ministérios de negócios estrangeiros e empresas de telecomunicações em África e no Médio Oriente desde pelo menos 2017.
Para vetores de infeção iniciais, o grupo usa dispositivos vulneráveis expostos na Internet, como servidores web e interfaces de gestão de equipamento de rede. Uma vez no sistema, os atacantes recorrem a ferramentas de código aberto para recolher dados e movimento lateral (avançar pela rede). A principal forma através da qual o grupo ganha acesso ao seu alvo é uma backdoor que a ESET chama Turian, por ser derivada da backdoor Quarian. Tanto sistemas Windows como Linux, incluindo unidades USB a eles ligadas, já foram alvo destes ataques.
A backdoor Quarian foi usada contra o Ministério dos Negócios Estrangeiros da Síria em 2012 e contra o Departamento de Estado dos EUA em 2013. Esta tendência de visar ministérios de negócios estrangeiros continua com a backdoor Turian: foram descobertas vítimas nos ministérios de negócios estrangeiros de vários países em África, bem como na Europa, Médio Oriente e Ásia.
Outros alvos do grupo incluem empresas de telecomunicações em África e pelo menos uma ONG no Médio Oriente. Em cada um destes casos, os atacantes empregaram técnicas semelhantes, mas modificaram as ferramentas usadas, mesmo em regiões próximas geograficamente, provavelmente para tornar a sua monitorização do grupo mais difícil.
A ESET explica em detalhe o funcionamento do BackdoorDiplomacy neste artigo em inglês.