Le groupe SparklingGoblin cible une université de Hong Kong...
/ESET découvre une nouvelle porte dérobée du groupe SparklingGoblin
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une variante Linux de la porte dérobée SideWalk, l’un des multiples modules personnalisés utilisés par le groupe de pirates SparklingGoblin. Cette variante a été déployée pour la première fois contre une université de Hong Kong en février 2021. C’est la même université qui avait déjà été visée par SparklingGoblin lors des manifestations étudiantes de mai 2020.
Université déjà visée par SparklingGoblin en mai 2020
SparklingGoblin est un groupe de pirates dont les cibles sont principalement situées en Asie de l’Est et du Sud-Est, bien qu’ESET Research ait noté qu’il s’intéressait à un large éventail d’organisations et de secteurs dans le monde entier, avec un accent particulier sur le monde universitaire.
«La porte dérobée SideWalk est exclusive à SparklingGoblin. Outre les multiples similitudes entre les variantes Linux de SideWalk et les différents outils de SparklingGoblin au niveau de leur programmation, l’un des échantillons Linux de SideWalk utilise une adresse de serveur de commande et de contrôle qui a été utilisée précédemment par SparklingGoblin. Compte tenu de tous ces facteurs, nous attribuons SideWalk Linux au groupe SparklingGoblin avec quasi-certitude», explique Vladislav Hrčka, le chercheur d’ESET qui partage cette découverte avec Thibault Passilly et Mathieu Tartare.
Compromission de plusieurs serveurs clés sur une longue période
SparklingGoblin a d’abord compromis l’université de Hong Kong en mai 2020 et la variante Linux de SideWalk a été détectée pour la première fois dans le réseau de cette université en février 2021. Le groupe a continuellement ciblé cette organisation sur une longue période, réussissant à compromettre plusieurs serveurs, notamment un serveur d’impression, un serveur de messagerie, ainsi qu’un serveur utilisé pour gérer les horaires des étudiants et les inscriptions aux cours. Cette fois, c’est une variante Linux de la porte dérobée originale. Cette version Linux présente plusieurs similarités avec son homologue Windows, ainsi que quelques nouveautés techniques.
Plusieurs threads pour exécuter une seule tâche spécifique
L’utilisation de plusieurs threads pour exécuter une seule tâche spécifique est une particularité de SideWalk. Dans les deux variantes, cinq threads sont exécutés simultanément, chacun d’entre eux ayant une tâche spécifique. Quatre commandes ne sont pas implémentées ou sont implémentées différemment dans la variante Linux.
«Compte tenu des nombreux chevauchements entre les échantillons, nous pensons avoir trouvé une variante Linux de SideWalk, que nous avons baptisée SideWalk Linux. Les deux possèdent le même ChaCha20 personnalisé, la même architecture logicielle, la même configuration et la même mise en œuvre du “dead drop resolver” », explique Vladislav Hrčka.
Pour plus d’informations techniques sur SideWalk Linux:
consultez l’article « You never walk alone: SideWalk backdoor gets a Linux variant » sur WeLiveSecurity.
Suivez l’actualité d’ESET Research sur Twitter.
Crédits photos: AE, ESET