ESET Hong Kong’da bir üniversiteyi hedef alan SparklingGoblin APT grubunun yeni Linux arka kapısını ortaya çıkardı ESET araştırmacıları …
ESET Hong Kong’da bir üniversiteyi hedef alan SparklingGoblin APT grubunun yeni Linux arka kapısını ortaya çıkardı
ESET araştırmacıları, SparklingGoblin APT grubu tarafınca kullanılan SideWalk arka kapısının bir Linux çeşidini keşfetti. SparklingGoblin, hedeflerini çoğunlukla Doğu ayrıca Güneydoğu Asya’dan seçiyor.
ESET Research, SparklingGoblin’in özellikle eğitim sektörüne odaklanarak dünya çapında çok çeşitli kuruluşları ayrıca sektörleri hedeflediğini gözlemledi. Araştırma verilerine göre SideWalk arka kapısı Şubat 2021’de bir Hong Kong üniversitesine karşı konuşlandırıldı. Üniversite Mayıs 2020’deki öğrenci protestoları sırasında SparklingGoblin tarafınca yine hedef alınmıştı.
Thibault Passilly ayrıca Mathieu Tartare ile birlikte bu varyantı keşfeden ESET araştırmacısı Vladislav Hrčka bu konuda şunları söyledi: “SideWalk arka kapısı SparklingGoblin’e özel. SideWalk’ın Linux türevleri ile çeşitli SparklingGoblin araçları arasındaki çoklu kod benzerliklerine ek olarak, SideWalk Linux örneklerinden biri, daha önce SparklingGoblin tarafınca kullanılan bir C&C adresini de kullanır. Tüm bu faktörleri göz önünde bulundurarak, SideWalk Linux’un SparklingGoblin APT grubuyla ilişkili olduğuna eminiz.
SparklingGoblin’in mevzu bahis Hong Kong üniversitesinin güvenliğini Mayıs 2020’de ihlal etmesinin ardından, SideWalk’ın Linux varyantı bu üniversitenin ağında ilk olarak Şubat 2021’de tespit edildi. Grup, uzun bir süre boyunca bu kuruluşu hedef aldı ayrıca aralarında bir yazıcı sunucusu, bir e-posta sunucusu ayrıca öğrenci programlarının ayrıca ders kayıtlarının yönetiminde kullanılan bir sunucunun da olduğu birden çok sunucuya sızmayı başardı. Bu seferki, özgün arka kapının bir Linux çeşidi. Bu Linux sürümü, bazı teknik yeniliklerin yanı sıra Windows muadiliyle çeşitli benzerlikler sergiliyor.
SideWalk’ın bir özelliği, tek bir belirli görevi yürütmek için birden çok iş parçacığının kullanılmasıdır. Her iki varyantta da, her birinin belirli bir görevi olan, aynı anda yürütülen tam olarak beş iş parçacığı olduğunu fark ettik. Linux varyantında dört komut uygulanmaz veya farklı şekilde uygulanır. SideWalk’ın Windows varyantı, kodunun amaçlarını gizlemek için büyük çaba harcıyor. Bu amaçla, yürütülmesi için gereksiz tüm verileri ayrıca kodları kırpıyor ayrıca gerisini şifreliyor. Öte yandan, Linux varyantları semboller içeriyor ayrıca bazı benzersiz kimlik doğrulama anahtarlarını ayrıca diğer yapıları şifrelenmemiş halde bırakıyor, bu da algılama ayrıca analizi önemli ölçüde kolaylaştırıyor.
