Neue APT-Gruppe nimmt gezielt Diplomaten ins Visier

Eset-Forscher analysieren Aktivitäten der Hacker-Gruppe in Europa, Asien und Afrika

14. Juni 2021, 12:00 Uhr | Jörg Schröper
© Wolfgang Traub

Der Fall klingt speziell, die Methode könnte allerdings Auswirkungen auch auf deutsche Unternehmen haben: Eset-Forscher haben nach eigenen Angaben eine neue APT-Gruppe namens BackdoorDiplomacy entdeckt. Die Hacker haben es vor allem auf Außenministerien im Nahen Osten und in Afrika abgesehen. Dabei seien sie jedoch auch in Deutschland und Österreich aktiv geworden. Ihre Angriffe beginnen in der Regel mit dem Ausnutzen von verwundbaren Anwendungen auf Web-Servern, um eine benutzerdefinierte Backdoor zu installieren.

„BackdoorDiplomacy teilt Taktiken, Techniken und Verfahren mit anderen Gruppen aus Asien. Die eingesetzte Malware Turian stellt wohl eine Weiterentwicklung von Quarian dar. Das Schadprogramm wurde 2013 bei Angriffen auf diplomatische Ziele in Syrien und den USA eingesetzt“, sagt Jean-Ian Boutin, Head of Threat Research bei Eset. Zusammen mit Adam Burgher, Senior Threat Intelligence Analyst bei dem Sicherheitsunternehmen, hat er an diesen Untersuchungen gearbeitet.

Opfer von BackdoorDiplomacy waren Außenministerien mehrerer afrikanischer Länder, ebenso Einrichtungen in Europa, dem Nahen Osten und Asien. Weitere Ziele sind Telekommunikationsunternehmen und mindestens eine Wohltätigkeitsorganisation. In jedem dieser Fälle setzten die Angreifer ähnliche Taktiken, Techniken und Prozeduren (TTPs) ein. Sie modifizierten jedoch die verwendeten Tools sogar innerhalb enger geografischer Regionen, was die Verfolgung der Gruppe wahrscheinlich erschweren sollte.

BackdoorDiplomacy agiert plattformübergreifend. Sowohl Windows- als auch Linux-Systeme hat die Gruppe angegriffen. Dabei haben es die Hacker gezielt auf Server mit offenen Ports im Internet abgesehen. Dabei nutzen sie nach Erkenntnissen der Forscher unzureichende Sicherheitsvorkehrungen beim Hochladen von Dateien oder ungepatchte Schwachstellen aus.

Ein Teil der Opfer wurde mit speziellen Programmen zur Datensammlung angegriffen, die nach Wechseldatenträgern auf den Systemen suchen. Bei Erkennung eines Laufwerks werden alle darauf befindlichen Dateien in ein kennwortgeschütztes Archiv kopiert. BackdoorDiplomacy ist in der Lage, die Systeminformationen des Opfers zu stehlen, Screenshots zu erstellen sowie Dateien zu schreiben, zu verschieben oder zu löschen.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Eset

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Netzwerksicherheit

Weitere Artikel zu Endpoint-Sicherheit

Weitere Artikel zu Fela Planungs AG

Weitere Artikel zu Tableau Software

Weitere Artikel zu matrix42

Matchmaker+