ESET ha rilevato una nuova backdoor Linux del gruppo APT SparklingGoblin 1

ESET ha rilevato una nuova backdoor Linux del gruppo APT SparklingGoblin

I ricercatori di ESET, hanno scoperto una variante Linux della backdoor SideWalk, uno dei molteplici sistemi customizzati utilizzati dal gruppo APT SparklingGoblin. Questa variante è stata distribuita per la prima volta contro un’università di Hong Kong nel febbraio 2021, la stessa che era già stata presa di mira da SparklingGoblin durante le proteste studentesche del maggio 2020. SparklingGoblin è un gruppo APT operativo soprattutto nell’Asia orientale e sudorientale, anche se ESET Research ha rilevato che indirizzano attacchi verso numerose organizzazioni e settori verticali in tutto il mondo, con particolare attenzione al comparto universitario.

“La backdoor SideWalk è caratteristica di SparklingGoblin. Oltre alle molteplici somiglianze di codice tra le varianti Linux di SideWalk e vari tool del gruppo APT, uno dei campioni Linux di SideWalk utilizza un indirizzo C&C (Command&Control) già sfruttato da SparklingGoblin. Considerando tutti questi fattori, siamo ragionevolmente certi che SideWalk Linux sia da ricondurre al gruppo APT SparklingGoblin”, spiega Vladislav Hrčka, ricercatore ESET che ha effettuato la scoperta insieme a Thibault Passilly e Mathieu Tartare.

SparklingGoblin ha violato per la prima volta un’università di Hong Kong nel maggio 2020 e ESET ha rilevato la variante Linux di SideWalk nella rete di questa università nel febbraio 2021. Il gruppo ha preso di mira l’organizzazione per un lungo periodo di tempo, riuscendo a compromettere diversi server, tra cui un server di stampa, uno di posta elettronica e uno utilizzato per gestire gli orari degli studenti e le iscrizioni ai corsi. In questo caso, si tratta di una variante Linux della backdoor originale. Questa versione Linux presenta diverse analogie con il suo equivalente Windows, oltre ad alcune novità a livello tecnico.

Una particolarità di SideWalk è l’uso di più thread per eseguire un singolo compito specifico. È stato rilevato che in entrambe le varianti ci sono esattamente cinque thread eseguiti simultaneamente, ognuno dei quali ha un compito specifico. Quattro comandi non sono implementati o sono implementati in modo diverso nella variante Linux. “Considerando le numerose sovrapposizioni di codice tra i campioni, riteniamo di aver trovato una variante Linux di SideWalk, che abbiamo chiamato SideWalk Linux. Le similitudini includono lo stesso ChaCha20 customizzato, l’architettura software, la configurazione e l’implementazione del resolver dead-drop”, afferma Hrčka.

“La variante Windows di SideWalk è stata sviluppata in modo da nascondere gli obiettivi del suo codice. Sono stati rimossi tutti i dati e il codice non necessari per la sua esecuzione e criptato il resto. D’altra parte, le varianti Linux contengono simboli e lasciano alcune chiavi di autenticazione uniche e altri artefatti non criptati, il che rende il rilevamento e l’analisi molto più facile”, conclude Hrčka.

Ulteriori informazioni tecniche su SideWalk Linux, a questo link You never walk alone: SideWalk backdoor gets a Linux variant su WeLiveSecurity.

Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende.

A proposito di ESET

Da oltre 30 anni, ESET® è leader nello sviluppo di software e servizi di sicurezza IT per proteggere aziende, infrastrutture strategiche e utenti finali in tutto il mondo da minacce digitali sempre più sofisticate. Con soluzioni che spaziano dalla sicurezza di endpoint e dispositivi mobili, alla crittografia e all’autenticazione a due fattori, i prodotti ESET offrono prestazioni elevate e sono facili da usare, proteggono e monitorano in modo discreto 24/7 i propri clienti, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro ed evitare interruzioni alle attività aziendali. Le minacce in continua evoluzione necessitano di un’azienda di sicurezza IT all’avanguardia, che garantisca un uso sicuro della tecnologia, garanzia che viene dai centri di ricerca e sviluppo ESET in tutto il mondo, che lavorano per rendere più sicuro il nostro futuro. Per ulteriori informazioni, visitate www.eset.com o seguite ESET sui nuovi canali italiani di LinkedIn, Facebook e  Twitter.

Translate »