Cyberthreat.id - Peneliti keamanan siber pada hari Kamis mengungkap kelompok spionase siber baru yang telah berada di balik serangkaian serangan yang menargetkan entitas diplomatik dan perusahaan telekomunikasi di Afrika dan Timur Tengah setidaknya sejak 2017.

Dijuluki "BackdoorDiplomacy," kampanye ini melibatkan penargetan titik lemah pada perangkat yang terpapar internet seperti server web untuk melakukan serangkaian aktivitas peretasan dunia maya, termasuk bergerak secara lateral melintasi jaringan untuk menyebarkan implan khusus yang disebut Turian yang mampu mengekstraksi data sensitif.

“BackdoorDiplomacy berbagi taktik, teknik, dan prosedur dengan kelompok lain yang berbasis di Asia. Turian kemungkinan mewakili evolusi tahap berikutnya dari Quarian, "pintu belakang" yang terakhir diamati digunakan pada tahun 2013 terhadap target diplomatik di Suriah dan AS,” kata Jean-Ian Boutin, kepala penelitian ancaman di perusahaan keamanan siber Slovakia ESET dalam sebuah postingan di situs perusahaan, Kamis (10 Juni 2021).

Dikembangkan untuk menargetkan sistem operasi Windows dan Linux, grup lintas platform memilih manajemen antarmuka untuk peralatan jaringan dan server dengan port yang terpapar internet, kemungkinan mengeksploitasi kerentanan yang belum ditambal untuk menyebarkan shell web China Chopper untuk akses awal, lalu dipakai untuk melakukan pengintaian dan pemasangan pintu belakang.

Sistem yang ditargetkan termasuk perangkat F5 BIG-IP (CVE-2020-5902), server Microsoft Exchange, dan panel kontrol hosting web Plesk. Korban telah diidentifikasi di Kementerian Luar Negeri beberapa negara Afrika, serta di Eropa, Timur Tengah, dan Asia. Selain itu, penyedia telekomunikasi di Afrika dan setidaknya satu badan amal Timur Tengah juga terkena dampaknya.

"Dalam setiap kasus, operator menggunakan taktik, teknik, dan prosedur (TTPs) yang serupa, tetapi memodifikasi alat yang digunakan, bahkan dalam wilayah geografis yang dekat, kemungkinan akan membuat pelacakan grup lebih sulit," kata para peneliti.

BackdoorDiplomacy juga diyakini tumpang tindih dengan kampanye yang dilaporkan sebelumnya yang dioperasikan oleh grup berbahasa China, yang dilacak oleh Kaspersky sebagai "CloudComputating."

Selain fitur-fitur untuk mengumpulkan informasi sistem, mengambil tangkapan layar, dan menjalankan operasi file, peneliti ESET mengatakan protokol enkripsi jaringan Turian hampir identik dengan yang digunakan oleh WhiteBird, backdoor C++ yang dioperasikan oleh aktor ancaman berbasis di Asia bernama Calypso, yang diinstal dalam organisasi diplomatik di Kazakhstan dan Kirgistan, dan pada angka waktu yang sama dengan BackdoorDiplomacy. []