أعلنت شركة “إسيت” ESET المتخصصة في أمن تكنولوجيا المعلومات عن أحدث أبحاثها والذي يسلط الضوء على مجموعة جديدة من هجمات APT BackdoorDiplomacy والتي تستهدف بشكل أساسي وزارات الخارجية في الشرق الأوسط وإفريقيا، وبشكل أقل شركات الاتصالات، وتبدأ هجماتهم عادةً باستغلال التطبيقات المعرضة للخطر على الإنترنت على خوادم الويب من أجل تثبيت باب خلفي مخصص وأطلقت “إسيت” عليه إسم Turian. يمكن لـ BackdoorDiplomacy اكتشاف الوسائط القابلة للإزالة، وعلى الأرجح محركات أقراص USB المحمولة، ونسخ محتوياتها إلى سلة المحذوفات في محرك الأقراص الرئيسي، وتمت مناقشة البحث حصريًا في مؤتمر إسيت العالمي السنوي.
يقول “جان إيان بوتين”، رئيس أبحاث التهديدات لدى “إسيت”، والذي عمل على هذا التحقيق مع “آدم بورغير”، كبير محللي استخبارات التهديدات: “تشارك “BackdoorDiplomacy التكتيكات والتقنيات والإجراءات مع مجموعات أخرى مقرها في آسيا، ومن المحتمل أن يمثل Turian تطور المرحلة التالية من Quarian، وهو من هجمات الباب الخلفي الذي لوحظ آخر مرة في عام 2013 ضد أهداف دبلوماسية في سوريا والولايات المتحدة “.
وأضاف “بوتين”: “ويطابق بروتوكول تشفير شبكة Turian تقريبًا لبروتوكول تشفير الشبكة الذي تستخدمه Whitebird، وهو باب خلفي تديره Calypso، وهي مجموعة هجمات ضارة أخرى مقرها آسيا، وتم نشر Whitebird داخل المنظمات الدبلوماسية في كازاخستان وقيرغيزستان خلال نفس الفترة مثل BackdoorDiplomacy (2017-2020)”.
ووقعت بعض الجهات الرسمية ضحايا BackdoorDiplomacy مثل وزارات خارجية عدة دول أفريقية، وكذلك في أوروبا والشرق الأوسط وآسيا، وتشمل القائمة المستهدفة أيضًا شركات الاتصالات السلكية واللاسلكية في إفريقيا، ومؤسسة خيرية واحدة على الأقل في الشرق الأوسط، واستخدم المشغلون تكتيكات وتقنيات وإجراءات متشابهة (TTPs) ، لكنهم عدلوا الأدوات المستخدمة ، حتى داخل المناطق الجغرافية القريبة ، من المرجح أن يجعل تتبع المجموعة أكثر صعوبة.
وتعد BackdoorDiplomacy أيضًا مجموعة متعددة المنصات تستهدف أنظمة Windows وLinux والخوادم ذات المنافذ المكشوفة للإنترنت، ومن المحتمل أن تستغل أمن تحميل الملفات الذي يتم فرضه بشكل ضعيف أو نقاط الضعف التي لم يتم إصلاحها.
وتم استهداف مجموعة فرعية من الضحايا من خلال ملفات تنفيذية لجمع البيانات تم تصميمها للبحث عن الوسائط القابلة للإزالة (على الأرجح محركات أقراص USB المحمولة)، ويتم الفحص بشكل روتيني لمحركات الأقراص هذه، وعند اكتشاف إدخال وسائط قابلة للإزالة، تحاول نسخ جميع الملفات الموجودة عليها إلى أرشيف محمي بكلمة مرور، حيث أن BackdoorDiplomacy قادر على سرقة معلومات النظام للضحية، والتقاط لقطات شاشة، وكتابة الملفات أو نقلها أو حذفها.
لمزيد من التفاصيل التقنية حول BackdoorDiplomacy، اقرأ منشور المدونة “BackdoorDiplomacy: الترقية من Quarian إلى Turian” على موقع WeLiveSecurity. تأكد من متابعة “أبحاث إسيت” على تويتر للحصول على آخر الأخبار.