Hacker cinesi sostenuti dallo Stato hanno sviluppato una variante Linux della backdoor SideWalk, utilizzata contro sistemi Windows appartenenti a obiettivi del settore accademico.
Obiettivo il settore accademico
La backdoor SideWalk Linux è stata osservata in passato, inizialmente tracciata come StageClient dai ricercatori di sicurezza della società di cybersicurezza ESET.
Una prima variante del malware è stata individuata dai ricercatori di 360 Netlab, il team di threat intelligence della società cinese di sicurezza internet Qihoo 360, e descritta due anni fa in un post sul blog dedicato alla botnet Specter che colpisce le telecamere IP.
Dopo aver analizzato Specter e StageClient, i ricercatori ESET hanno stabilito che entrambi i malware hanno la stessa radice e sono varianti Linux di SideWalk.
Nel 2021, i ricercatori di Trend Micro hanno documentato nuovi strumenti di una campagna di cyberespionaggio attribuita ad APT41/Earth Baku, tra cui la backdoor SideWalk, che hanno identificato come ScrambleCross.
ESET osserva in un rapporto odierno che mentre SideWalk Linux è stato utilizzato in passato contro diversi obiettivi, i dati di telemetria mostrano che la variante scoperta è stata distribuita contro una sola vittima nel febbraio 2021, un’università di Hong Kong.
SparkGoblin si è concentrato sullo stesso obiettivo in passato, compromettendo la stessa università nel maggio 2020, durante le proteste degli studenti.
“Il gruppo ha continuamente preso di mira questa organizzazione per un lungo periodo di tempo, riuscendo a compromettere diversi server chiave, tra cui un server di stampa, un server di posta elettronica e un server utilizzato per gestire gli orari degli studenti e le registrazioni ai corsi” – ESET
Sebbene SparklingGoblin stia attaccando soprattutto obiettivi nell’Asia orientale e sudorientale, il gruppo ha colpito anche organizzazioni al di fuori di queste regioni, concentrandosi sul settore accademico.
SideWalk per Windows pronto per Linux
Esaminando le varianti di SideWalk per Linux e Windows, ESET ha notato “sorprendenti” somiglianze nel modo in cui funzionano, nell’implementazione di più componenti e nei payload rilasciati sul sistema compromesso.
I ricercatori affermano che entrambe le varianti hanno implementato l’algoritmo di crittografia ChaCha20 per “utilizzare un contatore con un valore iniziale di 0x0B”, un aspetto particolare di SideWalk.
Sia su Windows che su Linux, il malware utilizza gli stessi cinque thread, eseguiti simultaneamente, per compiti specifici:
- [StageClient::ThreadNetworkReverse] – recupero di configurazioni proxy per connessioni alternative al server di comando e controllo (C2).
- [StageClient::ThreadHeartDetect] – chiude la connessione al server C2 quando i comandi non vengono ricevuti entro il tempo specificato.
- [StageClient::ThreadPollingDriven] – invia comandi heartbeat al server C2 se non ci sono informazioni da trasmettere
- [StageClient::ThreadBizMsgSend] – verifica la presenza di dati da inviare nelle code di messaggi di tutti gli altri thread e li elabora.
- [StageClient::ThreadBizMsgHandler] – controlla i messaggi in attesa dal server C2.
- I ricercatori ESET hanno anche scoperto che entrambe le varianti Linux e Windows di SideWalk avevano lo stesso payload consegnato attraverso la stringa del resolver dead-drop ospitata in un file di Google Docs.
Un altro elemento di prova che collega le due varianti di SideWalk allo stesso attore della minaccia è che entrambe utilizzano la stessa chiave di crittografia per trasportare i dati dal computer infetto al server C2.
SparklingGoblin è in grado di sviluppare malware adatto alle proprie esigenze, come dimostra la variante SideWalk Linux. Tuttavia, il gruppo ha anche accesso a impianti osservati in operazioni attribuite ad altri gruppi di hacker cinesi.
I ricercatori di ESET affermano che SparklingGoblin ha accesso alla backdoor ShadowPad e al malware Winnti.
