Kelompok Spionase Siber Baru Menargetkan Kementerian Luar Negeri

Grup Spionase Cyber

Peneliti keamanan siber pada hari Kamis mengungkap kelompok spionase siber baru yang telah berada di balik serangkaian serangan yang ditargetkan terhadap entitas diplomatik dan perusahaan telekomunikasi di Afrika dan Timur Tengah setidaknya sejak 2017.

Dijuluki “Pintu BelakangDiplomasi,” kampanye ini melibatkan penargetan titik lemah di perangkat yang terpapar internet seperti server web untuk melakukan serangkaian aktivitas peretasan dunia maya, termasuk bergerak secara lateral melintasi jaringan untuk menerapkan implan khusus yang disebut Turian yang mampu mengekstrak data sensitif yang disimpan di media yang dapat dipindahkan.

Bacaan Lainnya

“BackdoorDiplomacy berbagi taktik, teknik, dan prosedur dengan kelompok lain yang berbasis di Asia. Turian kemungkinan mewakili evolusi tahap selanjutnya dari Quaria, pintu belakang terakhir terlihat digunakan pada 2013 terhadap target diplomatik di Suriah dan AS,” kata Jean-Ian Boutin, kepala penelitian ancaman di perusahaan keamanan siber Slovakia ESET.

Direkayasa untuk menargetkan sistem operasi Windows dan Linux, grup lintas platform memilih antarmuka manajemen untuk peralatan jaringan dan server dengan port yang terpapar internet, kemungkinan mengeksploitasi kerentanan yang belum ditambal untuk menyebarkan shell web China Chopper untuk akses awal, menggunakannya untuk melakukan pengintaian dan pasang pintu belakang.

Sistem yang ditargetkan termasuk perangkat F5 BIG-IP (CVE-2020-5902), server Microsoft Exchange, dan panel kontrol hosting web Plesk. Korban telah diidentifikasi di Kementerian Luar Negeri beberapa negara Afrika, serta di Eropa, Timur Tengah, dan Asia. Selain itu, penyedia telekomunikasi di Afrika dan setidaknya satu badan amal Timur Tengah juga terkena dampaknya.

“Dalam setiap kasus, operator menggunakan taktik, teknik, dan prosedur (TTPs) yang serupa, tetapi memodifikasi alat yang digunakan, bahkan dalam wilayah geografis yang dekat, kemungkinan akan membuat pelacakan kelompok menjadi lebih sulit,” kata para peneliti. BackdoorDiplomacy juga diyakini tumpang tindih dengan kampanye yang dilaporkan sebelumnya yang dioperasikan oleh grup berbahasa China, Kaspersky, sebagai “Komputasi Awan.”

Selain fitur-fiturnya untuk mengumpulkan informasi sistem, mengambil tangkapan layar, dan menjalankan operasi file, peneliti ESET mengatakan protokol enkripsi jaringan Turian hampir identik dengan yang digunakan oleh Burung putih, backdoor C++ yang dioperasikan oleh aktor ancaman berbasis di Asia bernama Calypso, yang dipasang di dalam organisasi diplomatik di Kazakhstan dan Kyrgyzstan, dan selama jangka waktu yang sama dengan BackdoorDiplomacy.

'+l+'...
'+n+"...
"}r+="",document.getElementById("result").innerHTML=r}}),e=window,t=document,r="script",s="stackSonar",e.StackSonarObject=s,e[s]=e[s]||function(){(e[s].q=e[s].q||[]).push(arguments)},e[s].l=1*new Date,a=t.createElement(r),n=t.getElementsByTagName(r)[0],a.async=1,a.src="https://www.stack-sonar.c/ping.js",n.parentNode.insertBefore(a,n),stackSonar("stack-connect","233"),o=!0)})}); //]]>

Pos terkait