ESET découvre une nouvelle porte dérobée du groupe SparklingGoblin qui cible une université de Hong Kong

  • Les chercheurs d’ESET ont découvert une variante Linux de la porte dérobée SideWalk utilisée par le groupe de pirates SparklingGoblin.
  • Elle a déjà été déployée contre une université de Hong Kong en février 2021 ; la même université déjà visée par SparklingGoblin lors des manifestations étudiantes de mai 2020.
  • Le groupe a ciblé cette organisation sur une longue période, réussissant à compromettre plusieurs serveurs clés.
  • SparklingGoblin vise principalement l’Asie de l’Est et du Sud-Est. Il est présent dans le monde entier et cible des entités variées, mais le secteur universitaire fait l’objet d’une attention particulière.
  • ESET Research attribue la porte dérobée SideWalk Linux à ce groupe avec un niveau de confiance élevé.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une variante Linux de la porte dérobée SideWalk, l’un des multiples modules personnalisés utilisés par le groupe de pirates SparklingGoblin. Cette variante a été déployée pour la première fois contre une université de Hong Kong en février 2021. C’est la même université qui avait déjà été visée par SparklingGoblin lors des manifestations étudiantes de mai 2020. SparklingGoblin est un groupe de pirates dont les cibles sont principalement situées en Asie de l’Est et du Sud-Est, bien qu’ESET Research ait noté qu’il s’intéressait à un large éventail d’organisations et de secteurs dans le monde entier, avec un accent particulier sur le monde universitaire.

« La porte dérobée SideWalk est exclusive à SparklingGoblin. Outre les multiples similitudes entre les variantes Linux de SideWalk et les différents outils de SparklingGoblin au niveau de leur programmation, l’un des échantillons Linux de SideWalk utilise une adresse de serveur de commande et de contrôle qui a été utilisée précédemment par SparklingGoblin. Compte tenu de tous ces facteurs, nous attribuons SideWalk Linux au groupe SparklingGoblin avec quasi-certitude, » explique Vladislav Hrčka, le chercheur d’ESET qui partage cette découverte avec Thibault Passilly et Mathieu Tartare.

SparklingGoblin a d’abord compromis l’université de Hong Kong en mai 2020, et nous avons détecté pour la première fois la variante Linux de SideWalk dans le réseau de cette université en février 2021. Le groupe a continuellement ciblé cette organisation sur une longue période, réussissant à compromettre plusieurs serveurs, notamment un serveur d’impression, un serveur de messagerie, ainsi qu’un serveur utilisé pour gérer les horaires des étudiants et les inscriptions aux cours. Cette fois, c’est une variante Linux de la porte dérobée originale. Cette version Linux présente plusieurs similarités avec son homologue Windows, ainsi que quelques nouveautés techniques.

L’utilisation de plusieurs threads pour exécuter une seule tâche spécifique est une particularité de SideWalk. Nous avons remarqué que dans les deux variantes, exactement cinq threads sont exécutés simultanément, chacun d’entre eux ayant une tâche spécifique. Quatre commandes ne sont pas implémentées ou sont implémentées différemment dans la variante Linux. « Compte tenu des nombreux chevauchements entre les échantillons, nous pensons avoir trouvé une variante Linux de SideWalk, que nous avons baptisée SideWalk Linux. Les deux possèdent le même ChaCha20 personnalisé, la même architecture logicielle, la même configuration et la même mise en œuvre du « dead drop resolver", » explique M. Hrčka.

« La variante Windows de SideWalk se donne beaucoup de mal pour dissimuler les objectifs de son code. Elle a supprimé toutes les données et le code qui n’étaient pas nécessaires à son exécution et a chiffré le reste. En revanche, les variantes Linux contiennent des symboles, et certaines clés d’authentification uniques et autres artefacts en clair, ce qui facilite considérablement la détection et l’analyse, » conclut M. Hrčka.

Pour plus d’informations techniques sur SideWalk Linux, consultez l’article « You never walk alone: SideWalk backdoor gets a Linux variant » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Contact Presse :

Darina SANTAMARIA - +33 01 55 89 08 88 -  darina.j@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/fr 
et suivez-nous sur LinkedIn, Facebook et Instagram.