Le nouveau groupe APT cible spécifiquement les diplomates : les chercheurs d'ESET ont suivi et analysé les activités du groupe de hackers en Europe, en Asie et en Afrique.
Les chercheurs d'ESET ont découvert un nouveau groupe APT appelé BackdoorDiplomacy. Les pirates informatiques ciblent principalement les ministères des Affaires étrangères au Moyen-Orient et en Afrique. Ils sont également devenus actifs en Allemagne et en Autriche.
Aussi des activités en Allemagne
Leurs attaques commencent généralement par exploiter des applications vulnérables sur des serveurs Web pour installer une porte dérobée personnalisée, qu'ESET appelle Turian. Les chercheurs du fabricant européen de sécurité informatique ont publié leurs résultats en ligne sur WeliveSecurity. « BackdoorDiplomacy partage des tactiques, des techniques et des procédures avec d'autres groupes d'Asie. Le malware Turian utilisé est probablement un développement ultérieur de Quarian. Le malware a été utilisé dans des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013 », déclare Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET. Il a travaillé sur ces enquêtes avec Adam Burgher, Senior Threat Intelligence Analyst chez ESET.
Destinations aussi en Europe
Les ministères des Affaires étrangères de plusieurs pays africains ainsi que des institutions en Europe, au Moyen-Orient et en Asie ont été victimes du groupe APT BackdoorDiplomacy. Les autres cibles incluent les entreprises de télécommunications et au moins un organisme de bienfaisance. Dans chacun de ces cas, les attaquants ont utilisé des tactiques, techniques et procédures (TTP) similaires. Cependant, ils ont modifié les outils utilisés, même dans des régions géographiques étroites, ce qui visait probablement à rendre le suivi du groupe plus difficile.
Les systèmes Windows et Linux sont attaqués
La BackdoorDiplomacy agit sur toutes les plateformes. Les systèmes Windows et Linux sont ciblés par le groupe. Les pirates ciblaient spécifiquement les serveurs avec des ports ouverts sur Internet. Selon les conclusions des chercheurs d'ESET, ils exploitent des précautions de sécurité insuffisantes lors du téléchargement de fichiers ou de vulnérabilités non corrigées.
Certaines des victimes ont été attaquées avec des programmes spéciaux de collecte de données qui recherchent des supports amovibles sur les systèmes. Lorsqu'un lecteur est détecté, tous les fichiers qu'il contient sont copiés dans une archive protégée par mot de passe. BackdoorDiplomacy est capable de voler les informations système de la victime, de prendre des captures d'écran, d'écrire, de déplacer ou de supprimer des fichiers.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.