Eine neue Variante der SideWalk Backdoor, mit der eine Universität in Hongkong angegriffen wurde, haben Forscher von ESET entdeckt und untersucht. Dieses Schadprogramm gehört zum Arsenal von maßgeschneiderten Werkzeugen, die die Advanced Persistent Threat (APT)-Gruppe SparklingGoblin einsetzt. Die Cyberkriminellen nahmen die Einrichtung über einen langen Zeitraum hinweg ins Visier und kompromittierten erfolgreich mehrere Server, einschließlich eines Druckerservers, eines E-Mail-Servers und eines Servers zur Verwaltung von Stundenplänen und Kursanmeldungen. SparklingGoblin hat es bislang hauptsächlich auf Ziele in Ost- und Südostasien mit Schwerpunkt auf den akademischen Sektor abgesehen. Immer wieder beobachten die ESET Experten, dass die APT-Gruppe ihren Wirkungskreis auf Organisationen und Branchen weltweit ausdehnt. Ihre aktuelle Analyse gibt es auf WeliveSecurity.
„Das Schadprogramm SideWalk wird nach unseren Erkenntnissen nur von der Gruppe SparklingGobling eingesetzt. Wir entdeckten zahlreiche Code-Ähnlichkeiten zwischen der Linux- und Windows-Variante von SideWalk und den verschiedenen Tools der Gruppe. Zudem verwendet eines der Linux-Samples eine Command&Control-Adresse, die zuvor von SparklingGoblin verwendet wurde. Zu den Ähnlichkeiten gehört auch das angepasste Verschlüsselungsverfahren (ChaCha20), dieselbe Software-Architektur, Konfiguration und Übertragung von gesammelten Informationen. In Anbetracht all dieser Faktoren können wir die Linux Backdoor mit hoher Wahrscheinlichkeit der APT-Gruppe zuordnen“, erklären die ESET-Forscher Vladislav Hrčka, Thibault Passilly und Mathieu Tartare.
Neue Variante kompromittiert Linux-Server
SparklingGoblin attackierte die Universität in Hongkong erstmals im Mai 2020 mit einer Windows-basierten Backdoor. Dabei ist es der Gruppe erfolgreich gelungen, einen Schlüsselserver zu kompromittieren. Die Linux-Variante scheint seit Februar 2021 im Netzwerk vorhanden gewesen zu sein. Sie weist einige Ähnlichkeiten mit ihrem Windows-Pendant auf, zeigt aber auch einige technische Neuerungen. Die ESET Forscher vermuten, dass SparklingGoblin mit der Winnti APT-Gruppe in Verbindung steht , die diese Universität in Hongkong bereits 2019 angegriffen haben soll.
Eine Besonderheit von SideWalk ist die Verwendung mehrerer Threads zur Ausführung einer einzigen spezifischen Aufgabe. In beiden Varianten werden genau fünf Threads gleichzeitig ausgeführt, wobei jeder von ihnen eine bestimmte Aufgabe hat. Threads sind in der Informatik eigenständige Aktivitäten in einem Prozess. Sie gehören zu den Standardinstrumenten in der Programmentwicklung.
„Bei der Windows-Variante von SideWalk haben sich die Malware-Entwickler große Mühe gegeben, die Ziele ihres Codes zu verschleiern. Alles, was an Daten und Code für die Ausführung nicht erforderlich ist, wurde entfernt und der Rest verschlüsselt. Die Linux-Varianten hingegen enthalten Symbole und lassen einige eindeutige Authentifizierungsschlüssel und andere Artefakte unverschlüsselt, was die Erkennung und Analyse erheblich erleichtert“, so Hrčka abschließend.
Weitere technische Informationen über SparklingGoblin und die SideWalk Backdoor gibt es auf WeliveSecurity: https://www.welivesecurity.com/deutsch/2022/09/14/sidewalk-backdoor-mit-neuer-linux-variante