Κινέζοι χάκερ που υποστηρίζονται από το κράτος έχουν αναπτύξει μια παραλλαγή Linux για το SideWalk backdoor.
Το κακόβουλο λογισμικό αποδίδεται με μεγάλη εμπιστοσύνη στην ομάδα SparklingGoblin, η οποία παρακολουθείται και ως Earth Baku, η οποία πιστεύεται ότι συνδέεται με την ομάδα κυβερνοκατασκοπείας APT41.
Στοχεύοντας τον ακαδημαϊκό τομέα
Το SideWalk Linux backdoor έχει παρατηρηθεί στο παρελθόν, αρχικά ως StageClient από ερευνητές ασφαλείας στην εταιρεία κυβερνοασφάλειας ESET.
Μια πρώιμη παραλλαγή του κακόβουλου λογισμικού εντοπίστηκε από ερευνητές του 360 Netlab και αναφέρθηκε πριν από δύο χρόνια σε μια ανάρτηση σχετικά με το botnet Spectre που χτυπά κάμερες IP.
Αφού ανέλυσαν το Spectre και το StageClient, οι ερευνητές της ESET διαπίστωσαν ότι και τα δύο κομμάτια κακόβουλου λογισμικού έχουν την ίδια ρίζα και είναι παραλλαγές Linux του SideWalk.
Δείτε επίσης: WPGateway: Βρέθηκε σοβαρό zero-day bug στο WordPress plugin
Το 2021, ερευνητές της Trend Micro τεκμηρίωσαν νέα εργαλεία από μια εκστρατεία κυβερνοκατασκοπείας που αποδίδεται στην ομάδα APT41/Earth Baku, συμπεριλαμβανομένου του SideWalk backdoor, που παρακολουθούν ως ScrambleCross.
Η ESET σημειώνει σε μια σημερινή της έκθεση ότι ενώ το SideWalk Linux έχει χρησιμοποιηθεί εναντίον πολλών στόχων στο παρελθόν, τα δεδομένα τηλεμετρίας της δείχνουν ότι η παραλλαγή που ανακάλυψαν εφαρμόστηκε μόνο σε ένα θύμα τον Φεβρουάριο του 2021, ένα πανεπιστήμιο στο Χονγκ Κονγκ.
Η ομάδα SparkGoblin εστίασε στον ίδιο στόχο στο παρελθόν, θέτοντας σε κίνδυνο το ίδιο πανεπιστήμιο τον Μάιο του 2020, κατά τη διάρκεια των διαδηλώσεων των φοιτητών.
Αν και η ομάδα SparklingGoblin επιτίθεται ως επί το πλείστον σε στόχους στην Ανατολική και Νοτιοανατολική Ασία, η ομάδα πλήττει και οργανισμούς εκτός αυτών των περιοχών, με επίκεντρο τον ακαδημαϊκό τομέα.
Το SideWalk για Windows είναι έτοιμο και για Linux
Εξετάζοντας τις παραλλαγές του SideWalk για Linux και Windows, η ESET παρατήρησε «εντυπωσιακές» ομοιότητες στον τρόπο λειτουργίας τους, την υλοποίηση πολλαπλών στοιχείων και τα payloads που έγιναν drop στο παραβιασμένο σύστημα.
Οι ερευνητές λένε ότι και οι δύο παραλλαγές εφάρμοσαν τον αλγόριθμο κρυπτογράφησης ChaCha20 για να «χρησιμοποιήσουν έναν μετρητή με αρχική τιμή 0x0B», κάτι που είναι ιδιαίτερο για το SideWalk.
Και στα Windows και στο Linux, το κακόβουλο λογισμικό χρησιμοποιεί τα ίδια πέντε threads, που εκτελούνται ταυτόχρονα, για συγκεκριμένες εργασίες.
Δείτε επίσης: Η ομάδα TA453 χρησιμοποιεί νέα τεχνική για πιο ρεαλιστικές phishing επιθέσεις
Οι ερευνητές της ESET ανακάλυψαν επίσης ότι τόσο οι παραλλαγές Linux όσο και Windows για το SideWalk είχαν το ίδιο payload που παραδόθηκε μέσω του “dead-drop resolver string” που φιλοξενείται σε ένα αρχείο των Google Docs.
Ένα άλλο στοιχείο που συνδέει τις δύο παραλλαγές του SideWalk με τον ίδιο απειλητικό παράγοντα ήταν ότι και οι δύο χρησιμοποιούσαν το ίδιο κλειδί κρυπτογράφησης για τη μεταφορά δεδομένων από το μολυσμένο μηχάνημα στον C2 server.
Η SparklingGoblin έχει τις δυνατότητες να αναπτύξει malware προσαρμοσμένο στις ανάγκες της, όπως αποδεικνύεται από την παραλλαγή SideWalk Linux. Ωστόσο, η ομάδα έχει πρόσβαση και σε εμφυτεύματα που παρατηρήθηκαν σε επιχειρήσεις που αποδίδονται σε άλλες κινεζικές ομάδες hacking.
Δείτε επίσης: Χάκερ έχουν εγχύσει malware σε extensions από το FishPig
Οι ερευνητές της ESET λένε ότι η SparklingGoblin έχει πρόσβαση στο backdoor ShadowPad και στο κακόβουλο λογισμικό Winnti.
Πηγή πληροφοριών: bleepingcomputer.com
