ESET Research a mis en garde, à travers un communiqué en date du 15 juin dont nous avons reçu copie, les gouvernements d’Afrique et ceux du Moyen-Orient au sujet d’une nouvelle menace virale dénommée « BackdoorDiplomacy ».
BackdoorDiplomacy, est un nouveau groupe de pirates qui cible principalement des ministères des Affaires étrangères en Afrique et au Moyen-Orient. Aussi des entreprises de télécommunication, mais moins fréquemment que la diplomatie.
Généralement, ces attaques commencent par l’exploitation d’applications vulnérables exposées à Internet sur des serveurs, afin d’installer une porte dérobée personnalisée qu’ESET nomme Turian. Ces hackers sont capables de détecter des supports amovibles, notamment des clés USB, et de copier leur contenu dans la corbeille du disque principal.
Les méthodes utilisées par BackdoorDiplomacy sont assez bien connues de ESET, vu la particularité des points avec plusieurs autres groupes asiatiques. Le plus évident d’entre eux est le lien entre le backdoorTurian et le backdoorQuarian. « Turian représente probablement l’évolution de Quarian, une porte dérobée dont l’utilisation a été observée pour la dernière fois en 2013 contre des cibles diplomatiques en Syrie et aux États-Unis» a déclaré Jean-Ian Boutin, Head of ThreatResearch(chef de recherche sur les menaces) chez ESET, qui a travaillé sur cette enquête.
Dans plusieurs ministères des Affaires étrangères de pays africains, d’Europe, du Moyen-Orient et d’Asie, des victimes de BackdoorDiplomacy ont été découvertes. Parmi les autres cibles figurent des entreprises de télécommunication en Afrique, et au moins une organisation caritative au Moyen-Orient. Dans chaque cas, les opérateurs ont utilisé des tactiques, techniques et procédures (TTP) similaires, mais ont modifié les outils utilisés, même dans des régions géographiques proches, ce qui a probablement rendu la traque du groupe plus difficile.
Ces hackeurs sont indéniablement un groupe multiplateforme qui cible les systèmes Windows et Linux. Ils s’attaquent à des serveurs dont les ports sont exposés à Internet, en exploitant probablement une faille de sécurité dans le mécanisme de téléchargement de fichiers ou des vulnérabilités non corrigées. « Dans un cas, cela a conduit à l’utilisation d’un webshell appelé China Chopper, qui est utilisé par différents groupes. Les opérateurs ont tenté de déguiser leurs outils pour échapper à toute détection ».
Fondée en 1992, ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnière en matière de détection proactive des menaces véhiculées par l’Internet, l’entreprise est aujourd’hui leader dans son domaine et ses solutions protègent aujourd’hui plus de 600 millions de postes dans le monde.
Hervée Mona
