Útočníci zo skupiny SparklingGoblin sa pokúšajú zdecimovať hongkongských akademikov novým spôsobom. Po útokoch, ktoré zasiahli univerzitu v tejto osobitnej administratívnej oblasti Číny počas prodemokratických protestov v máji 2020 použili hackeri proti tej istej inštitúcii novú verziu backdooru zacielenú na zariadenia s operačným systémom Linux. Odhalenie priniesli výskumníci spoločnosti ESET.
Výskumníci zo slovenskej kyberbezpečnostnej spoločnosti objavili nový variant backdooru SideWalk, ktorý je určený špeciálne pre operačný systém Linux. Arzenál APT skupiny SparklingGoblin sa tak rozšíril o ďalší z množstva viacerých nástrojov, ktoré pochádzajú z dielne samotnej skupiny.
SparklingGoblin je APT skupina, ktorej obete sa nachádzajú prevažne vo východnej a juhovýchodnej Ázii. Výskumníci spoločnosti ESET však zistili, že útočníci cielia na množstvo organizácií po celom svete, pričom sa špecificky zameriavajú na akademickú obec.
Skompromitovali tlačiarne aj rozvrhy študentov
ESET zistil, že variant backdooru SideWalk určený pre Linux infiltrovali hackeri do univerzitnej siete prvýkrát ešte vo februári 2021. Počas opakovaného ťaženia proti univerzite v Hongkongu sa útočníkom podarilo skompromitovať viacero jej kľúčových serverov. Vďaka malvéru skupina skompromitovala tlačiarenský server, e-mailový server či dokonca server, ktorý slúži na správu rozvrhu študentov.
Variant backdooru pre Linux je podobný s Windows verziou
Najnovšia verzia backdooru SideWalk určená pre Linux vykazuje viacero podobností s variantom pre operačný systém Windows. „Medzi podobné znaky patrí použitie toho istého prispôsobeného šifrovacieho algoritmu ChaCha20, softvérová architektúra, konfigurácia a implementácia dead-drop resolvera,“ vysvetľuje Vladislav Hrčka, výskumník spoločnosti ESET, ktorý odhalil malvér spolu s výskumníkmi Thibaultom Passillym a Mathieuom Tartarom.
Medzi variantmi backdooru pre dva operačné systémy však sú aj rozdiely. Kým malvér určený pre Windows po sebe zametá stopy odstránením všetkých údajov, ktoré nie sú nevyhnutne potrebné pre jeho spustenie, Linux verzia škodlivého kódu obsahuje nezašifrované prvky, ktoré výrazne uľahčujú výskumníkom detekciu a analýzu.
Viac technických informácií v anglickom jazyku o backdoore SideWalk Linux nájdete v našom špeciálnom blogu „You never walk alone: SideWalk backdoor gets a Linux variant“ na našom medzinárodnom portáli WeLiveSecurity.