Redactie - 16 juni 2021

Gerichte cyberspionage op onder meer diplomaten ontdekt

Gerichte cyberspionage op onder meer diplomaten ontdekt image

Het securitybedrijf ESET waarschuwt voor een nieuwe APT-groep: hackers die zich specifiek richten op ministeries van Buitenlandse Zaken en hun diplomaten.

Aanvallers weten zich soms voor langere tijd in IT-systemen van slachtoffers te nestelen. Zo'n hack wordt ook weleens een Advanced Persistent Threat (APT) genoemd: een doelgerichte cyberaanval waarbij iemand onopgemerkt én langdurig toegang krijgt tot een netwerk. APT-aanvallen richten zich vooral op landen en specifieke organisaties.

Gespecialiseerde onderzoekers van ESET maken deze week bekend dat ze een nieuwe APT-hackersgroep ontdekt hebben die specifiek ministeries van Buitenlandse Zaken viseert, vooral in het Midden-Oosten en Afrika, maar die ook in Europa al slachtoffers maakte. De groep luistert naar de veelzeggende naam BackdoorDiplomacy. Hun aanvallen beginnen meestal met de exploitatie van kwetsbare apps die via webservers aan het internet zijn blootgesteld. Vervolgens installeren ze een aangepaste backdoor - het achterpoortje - dat de naam Turian toebedeeld kreeg.

Link met Azië

BackdoorDiplomacy kan verwisselbare media detecteren, hoogstwaarschijnlijk USB-drives, en hun inhoud kopiëren in de prullenbak van de primaire drive. Het stukje kwaadaardige software kan zo van zijn slachtoffers systeeminformatie stelen, screenshots maken, en ook bestanden schrijven, verplaatsen of verwijderen. "Turian is waarschijnlijk een evolutie naar de volgende stap van Quarian, de backdoor die voor het laatst gezien werd in 2013 toen het tegen diplomatieke doelen in Syrië en de Verenigde Staten werd gebruikt", aldus Jean-Ian Boutin, Head of Threat Research bij ESET. Het netwerkcoderingsprotocol van Turian is bijna identiek aan dat van Whitebird, een backdoor die beheerd wordt door Calypso, een andere groep uit Azië. Whitebird werd binnen diplomatieke organisaties in Kazachstan en Kirgizië ingezet in dezelfde periode als BackdoorDiplomacy (2017-2020).

Zonder namen te noemen heeft ESET weet van slachtoffers bij de ministeries van Buitenlandse Zaken in verschillende Afrikaanse landen, maar ook in Europa, het Midden-Oosten en Azië. Ook sommige telecombedrijven werden getroffen en minstens één liefdadigheidsinstelling in het Midden-Oosten. Wat BackdoorDiplomacy extra gevaarlijk maakt, is dat de groep platformonafhankelijk werkt en zich zowel op Windows- als Linux-systemen richt. De groep zoekt vooral servers met poorten die 'open' staan op internet en maakt gebruik van niet-gepatchte kwetsbaarheden.

Gelsemium: cyberspionage tegen overheden en andere doelwitten in Azië

Het securitybedrijf onthulde op de eigen conferentie ESET World ook diepgaand onderzoek naar de cyberspionagegroep Gelsemium en de eerste versie gevonden - uit 2014 - van hun belangrijkste malware, Gelsevirine. De slachtoffers hiervan bevinden zich zowel in Oost-Azië als in het Midden-Oosten en zijn onder andere regeringen, religieuze organisaties, elektronicafabrikanten en universiteiten. Tot nu toe is de groep erin geslaagd om grotendeels onder de radar te blijven. Onderzoekers denken nu dat Gelsemium achter de aanval zit op de toeleveringsketen van BigNox. Het ging om de aanval op een toeleveringsketen, die het updatemechanisme van NoxPlayer - een Android-emulator voor pc en Mac en onderdeel van de productlijn van BigNox - in gevaar bracht, met meer dan 150 miljoen gebruikers wereldwijd.

In samenwerking met Data News

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!