BackdoorDiplomacy với nhiều biến thể khác nhau được cho là đã hoạt động gián điệp mạng từ năm 2010. Trong lịch sử, nhóm này đã nhắm mục tiêu vào các tổ chức chính phủ và ngoại giao trên khắp khu vực Bắc và Nam Mỹ, Châu Phi và Trung Đông. Theo nghiên cứu của Palo Alto Networks thì biến thể mới của BackdoorDiplomacy vẫn còn hoạt động, nhắm mục tiêu vào các cơ quan bộ ngoại giao và doanh nghiệp viễn thông ở Châu Phi, Châu Âu, Trung Đông và Châu Á. Bài viết giới thiệu tóm tắt một số kết quả nghiên cứu về nhóm gián điệp mạng “BackdoorDiplomacy” này.
BackdoorDiplomacy khai thác các ứng dụng dễ bị tấn công trên máy chủ web
Đó là kết luận được công bố vào năm 2021 của các chuyên gia đến từ Welivesecurity sau khi quan sát BackdoorDiplomacy.
Vectơ tấn công
Các chuyên gia từ Welivesecurity cho rằng, BackdoorDiplomacy nhắm mục tiêu vào các máy chủ có cổng tiếp xúc với internet, có khả năng khai thác các lỗ hổng chưa được vá hoặc quá trình bảo mật tải tệp dữ liệu được thực thi kém. Trong một trường hợp cụ thể, họ đã quan sát thấy nhóm gián điệp mạng này đã khai thác lỗ hổng F5 BIP-IP (CVE-2020-5902) để loại bỏ cửa hậu Linux. Trong một trường hợp khác, máy chủ Microsoft Exchange đã bị khai thác thông qua trình nhỏ giọt PowerShell đã cài đặt China Chopper, webshell nổi tiếng được nhiều nhóm khác nhau sử dụng, kể từ năm 2013. Trong trường hợp thứ ba, các chuyên gia đã quan sát thấy máy chủ Plesk có bảo mật tải tệp dữ liệu được định cấu hình kém thực thi webshell khác tương tự như China Chopper. Tổng quan về chuỗi khai thác của nhóm gián điệp BackdoorDiplomacy được Welivesecurity mô tả trong Hình 1.
Hình 1. Khai thác chuỗi từ thỏa hiệp ban đầu đến cửa hậu với truyền thông C