• Výskumníci spoločnosti ESET odhalili nový variant backdooru SideWalk pre Linux z dielne APT skupiny SparklingGoblin.
  • Malvér bol už predtým, vo februári 2021, použitý proti univerzite v Hongkongu – tej istej univerzite, na ktorú zaútočila skupina SparklingGoblin aj počas študentských protestov v máji 2020.
  • APT skupina cieli na túto organizáciu už dlhšiu dobu, pričom sa jej úspešne darí kompromitovať jej kľúčové servery.
  • SparklingGoblin sa zameriava prevažne na východnú a juhovýchodnú Áziu, ale útočí po celom svete na množstvo cieľov. Špecificky sa pritom orientuje na akademický sektor.
  • Výskumníci spoločnosti ESET pripisujú backdoor SideWalk Linux tejto skupine s vysokou mierou istoty.

Výskumníci spoločnosti ESET objavili nový variant backdooru SideWalk určený pre operačný systém Linux. Ide o ďalší z množstva vlastných nástrojov použitých APT skupinou SparklingGoblin. Tento variant bol prvýkrát nasadený počas útoku na univerzitu v Hongkongu vo februári 2021. Ide o tú istú univerzitu, ktorá bola touto skupinou zasiahnutá už počas študentských protestov v máji 2020. SparklingGoblin je APT skupina, ktorej obete sa nachádzajú prevažne vo východnej a juhovýchodnej Ázii. Výskumníci spoločnosti ESET však identifikovali aktivitu skupiny proti širokej škále organizácií po celom svete, so špecifickým zameraním na akademickú obec.

„Backdoor SideWalk je vlastným nástrojom skupiny SparklingGoblin. Okrem viacerých podobností v kóde Linux variantu backdooru SideWalk a ďalších nástrojov skupiny SparklingGoblin, má jedna zo vzoriek takú istú riadiacu adresu, ktorú už v minulosti použila skupina SparklingGoblin. Vzhľadom na všetky tieto fakty s vysokou mierou istoty pripisujeme backdoor SideWalk Linux APT skupine SparklingGoblin,“ vysvetľuje Vladislav Hrčka, výskumník spoločnosti ESET, ktorý odhalil malvér spolu s výskumníkmi Thibaultom Passillym a Mathieuom Tartarom.

Skupina SparklingGoblin prvýkrát skompromitovala univerzitu v Hongkongu v máji 2020. ESET prvýkrát detegoval variant backdooru SideWalk určený pre operačný systém Linux v univerzitnej sieti vo februári 2021. Skupina dlhšiu dobu opakovane útočila na túto inštitúciu, pričom sa jej podarilo skompromitovať viacero serverov, vrátane tlačiarenského serveru, e-mailového serveru a serveru použitého na správu rozvrhov študentov a registrácií na jednotlivé kurzy. Najnovšie odhalenie sa týka variantu pôvodného backdooru, ktorý je tentokrát zameraný na operačný systém Linux. Táto verzia vykazuje viacero podobností s variantom pre operačný systém Windows, ale aj niekoľko technických noviniek.

Jednou zo spoločných vlastností verzií backdooru pre rôzne operačné systémy je použitie viacerých vlákien na vykonanie jednej požadovanej úlohy. Výskumníci spoločnosti ESET si všimli, že v prípade oboch variantov sa nachádza presne päť vlákien spustených naraz, pričom každé z vlákien má vlastnú úlohu. Štyri príkazy však nie sú implementované, alebo sú nasadené iným spôsobom v prípade operačného systému Linux.

„Vzhľadom na množstvo kódových prienikov medzi vzorkami veríme, že sme našli Linux variant backdooru SideWalk, ktorý sme nazvali SideWalk Linux. Medzi podobnosti patrí použitie toho istého prispôsobeného šifrovacieho algoritmu ChaCha20, softvérová architektúra, konfigurácia a implementácia dead-drop resolvera,“ hovorí Hrčka.

„Variant malvéru SideWalk pre Windows robí všetko preto, aby skryl skutočné ciele svojho kódu. Odstráni všetky údaje a kódy, ktoré nie sú nevyhnutne potrebné pre jeho spustenie a zvyšok zašifruje. Na druhej strane, Linux verzia backdooru obsahuje symboly a zanecháva unikátne autentifikačné kľúče a ostatné artefakty nezašifrované, čo nám výrazne zjednodušuje detekciu aj analýzu,“ uzatvára Hrčka.

Viac technických informácií o backdoore SideWalk Linux nájdete v našom špeciálnom blogu „You never walk alone: SideWalk backdoor gets a Linux variant“ na našom portáli WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.

Značky: