I ricercatori di ESET, hanno scoperto una variante Linux della backdoor SideWalk, uno dei molteplici sistemi customizzati utilizzati dal gruppo APT SparklingGoblin. Questa variante è stata distribuita per la prima volta contro un’università di Hong Kong nel febbraio 2021, la stessa che era già stata presa di mira da SparklingGoblin durante le proteste studentesche del maggio 2020.
SparklingGoblin è un gruppo APT operativo soprattutto nell’Asia orientale e sudorientale, anche se ESET Research ha rilevato che indirizzano attacchi verso numerose organizzazioni e settori verticali in tutto il mondo, con particolare attenzione al comparto universitario.
“La backdoor SideWalk è caratteristica di SparklingGoblin. Oltre alle molteplici somiglianze di codice tra le varianti Linux di SideWalk e vari tool del gruppo APT, uno dei campioni Linux di SideWalk utilizza un indirizzo C&C (Command&Control) già sfruttato da SparklingGoblin. Considerando tutti questi fattori, siamo ragionevolmente certi che SideWalk Linux sia da ricondurre al gruppo APT SparklingGoblin”, spiega Vladislav Hrčka, ricercatore ESET che ha effettuato la scoperta insieme a Thibault Passilly e Mathieu Tartare.
SparklingGoblin ha violato per la prima volta un’università di Hong Kong nel maggio 2020 e ESET ha rilevato la variante Linux di SideWalk nella rete di questa università nel febbraio 2021. Il gruppo ha preso di mira l’organizzazione per un lungo periodo di tempo, riuscendo a compromettere diversi server, tra cui un server di stampa, uno di posta elettronica e uno utilizzato per gestire gli orari degli studenti e le iscrizioni ai corsi. In questo caso, si tratta di una variante Linux della backdoor originale. Questa versione Linux presenta diverse analogie con il suo equivalente Windows, oltre ad alcune novità a livello tecnico.
Una particolarità di SideWalk è l’uso di più thread per eseguire un singolo compito specifico. È stato rilevato che in entrambe le varianti ci sono esattamente cinque thread eseguiti simultaneamente, ognuno dei quali ha un compito specifico. Quattro comandi non sono implementati o sono implementati in modo diverso nella variante Linux.
“Considerando le numerose sovrapposizioni di codice tra i campioni, riteniamo di aver trovato una variante Linux di SideWalk, che abbiamo chiamato SideWalk Linux. Le similitudini includono lo stesso ChaCha20 customizzato, l’architettura software, la configurazione e l’implementazione del resolver dead-drop”, afferma Vladislav Hrčka. “La variante Windows di SideWalk è stata sviluppata in modo da nascondere gli obiettivi del suo codice. Sono stati rimossi tutti i dati e il codice non necessari per la sua esecuzione e criptato il resto. D’altra parte, le varianti Linux contengono simboli e lasciano alcune chiavi di autenticazione uniche e altri artefatti non criptati, il che rende il rilevamento e l’analisi molto più facile”.