גרסת לינוקס חדשה של הדלת האחורית של SideWalk נפרסה נגד אוניברסיטה בהונג קונג במתקפה מתמשכת שפגעה במספר שרתים המפתחים לסביבת הרשת של המוסד.
חוקרים מ-ESET ייחסו את המתקפה ואת הדלת האחורית ל-SparklingGoblin, קבוצת איום מתמשך (APT) המכוונת לארגונים בעיקר במזרח ובדרום מזרח אסיה, עם התמקדות במגזר האקדמי, הם אמרו ב- בלוג פורסם ב-14 בספטמבר.
ה-APT נקשר גם להתקפות על מגוון רחב של ארגונים ותעשיות אנכיות ברחבי העולם, וידוע בשימוש בדלתות האחוריות של SideWalk ו-Crosswalk בארסנל של תוכנות זדוניות, אמרו חוקרים.
למעשה, המתקפה על אוניברסיטת הונג קונג היא הפעם השנייה ש-SparklingGoblin פוגע במוסד המסוים הזה; הראשון היה במאי 2020 במהלך הפגנות סטודנטים, עם חוקרי ESET זיהוי לראשונה את גרסת לינוקס של SideWalk ברשת האוניברסיטה בפברואר 2021 מבלי לזהות אותה ככזו, אמרו.
נראה שהמתקפה האחרונה היא חלק ממסע פרסום מתמשך שהתחיל בתחילה עם ניצול של מצלמות IP ו/או מקליט וידאו ברשת (NVR) ומכשירי DVR, באמצעות רשת הבוט Spectre או דרך שרת וורדפרס פגיע שנמצא במכשיר של הקורבן. סביבה, אמרו החוקרים.
"SparklingGoblin התמקדה ברציפות בארגון זה לאורך תקופה ארוכה, תוך שהיא מתפשרת בהצלחה על מספר שרתי מפתח, כולל שרת הדפסה, שרת דוא"ל ושרת המשמש לניהול לוחות זמנים של תלמידים והרשמות לקורסים", אמרו החוקרים.
יתרה מכך, כעת נראה כי ה-Spectre RAT, שתועד לראשונה על ידי חוקרים ב-360 Netlab, הוא למעשה גרסה של SideWalk Linux, כפי שמוצג על ידי מספר מאפיינים משותפים בין המדגם שזוהו על ידי חוקרי ESET.
SideWalk קישורים ל- SparklingGoblin
מדרכה הוא דלת אחורית מודולרית שיכולה לטעון באופן דינמי מודולים נוספים שנשלחים משרת הפקודה והבקרה (C2) שלו, עושה שימוש ב-Google Docs כ-Dead Drop, ומשתמשת ב-Cloudflare כשרת C2. זה גם יכול לטפל כראוי בתקשורת מאחורי פרוקסי.
ישנן דעות שונות בין החוקרים לגבי איזו קבוצת איומים אחראית לדלת האחורית של SideWalk. בעוד ESET מקשרת את התוכנה הזדונית ל-SparklingGoblin, חוקרים בסימנטק אמר שזה העבודה של Grayfly (המכונה GREF ו-Wicked Panda), APT סינית הפעילה מאז מרץ 2017 לפחות.
ESET מאמינה ש- SideWalk היא בלעדית ל- SparklingGoblin, ומבססת את ה"אמון הגבוה" שלה בהערכה זו על "דמיון רב בקוד בין גרסאות לינוקס של SideWalk וכלים שונים של SparklingGoblin", אמרו חוקרים. אחת מהדוגמאות של SideWalk Linux משתמשת גם בכתובת C2 (66.42.103[.]222) ששימשה בעבר על ידי SparklingGoblin, הם הוסיפו.
בנוסף לשימוש בדלתות האחוריות של SideWalk ו-Crosswalk, SparklingGoblin ידוע גם בפריסת מעמיסים מבוססי Motnug ו-ChaCha20, ה-PlugX RAT (aka Korplug), ו-Cobalt Strike בהתקפותיה.
תחילתה של SideWalk Linux
חוקרי ESET תיעדו לראשונה את גרסת הלינוקס של SideWalk ביולי 2021, וכינו אותה "StageClient" מכיוון שהם לא יצרו באותו זמן את החיבור ל-SparklingGoblin ולדלת האחורית של SideWalk עבור Windows.
בסופו של דבר הם קישרו את התוכנה הזדונית לדלת אחורית מודולרית של לינוקס עם תצורה גמישה בשימוש על ידי רשת הבוט Spectre שהוזכרה ב- בלוג על ידי חוקרים ב-360 Netlab, שמצאו "חפיפה עצומה בפונקציונליות, בתשתית ובסמלים הקיימים בכל הקבצים הבינאריים", אמרו חוקרי ESET.
"הדמיון הזה משכנע אותנו ש-Spectre ו-StageClient הם מאותה משפחת תוכנות זדוניות", הוסיפו. למעשה, שניהם הם רק לינוקס שונים של SideWalk, מצאו חוקרים בסופו של דבר. מסיבה זו, שניהם מכונים כעת תחת מונח המטריה SideWalk Linux.
ואכן, לאור השימוש התכוף בלינוקס כבסיס לשירותי ענן, מארחי מכונות וירטואליות ותשתית מבוססת קונטיינרים, התוקפים מתמקדים יותר ויותר בלינוקס סביבות עם ניצולים מתוחכמים ותוכנות זדוניות. זה הוליד תוכנות זדוניות של לינוקס זה גם ייחודי למערכת ההפעלה וגם נבנה כהשלמה לגרסאות Windows, מה שמוכיח שתוקפים רואים הזדמנות הולכת וגדלה למקד את תוכנת הקוד הפתוח.
השוואה לגרסת Windows
מצדה, ל- SideWalk Linux יש קווי דמיון רבים לגרסת Windows של התוכנה הזדונית, כאשר חוקרים מתארים רק את ה"בולטים" ביותר בפוסט שלהם, אמרו החוקרים.
הקבלה ברורה אחת היא ההטמעות של הצפנת ChaCha20, כאשר שתי הגרסאות משתמשות במונה עם ערך התחלתי של "0x0B" - מאפיין שצוין בעבר על ידי חוקרי ESET. מפתח ChaCha20 זהה לחלוטין בשתי הגרסאות, מה שמחזק את הקשר בין השניים, הם הוסיפו.
שתי הגרסאות של SideWalk משתמשות גם במספר שרשורים לביצוע משימות ספציפיות. לכל אחד מהם יש בדיוק חמישה שרשורים - StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend ו-StageClient::ThreadBizMsgHandler - המבוצעים בו זמנית שכל אחד מהם מבצע פונקציה ספציפית הטבועה בדלת האחורית, לפי ESET.
דמיון נוסף בין שתי הגרסאות הוא שהטעינה של פותר ללא שחרור - או תוכן אדוורסרי המתפרסם בשירותי אינטרנט עם דומיינים משובצים או כתובות IP - זהה בשתי הדוגמאות. המפרידים - תווים שנבחרו להפריד בין אלמנט אחד במחרוזת לאלמנט אחר - של שתי הגרסאות גם זהים, כמו גם אלגוריתמי הפענוח שלהם, אמרו החוקרים.
חוקרים מצאו גם הבדלים עיקריים בין SideWalk Linux לבין מקבילה ל-Windows. האחת היא שבגרסאות של SideWalk Linux, מודולים מובנים ולא ניתן לשלוף אותם משרת C2. לגרסת Windows, לעומת זאת, יש פונקציות מובנות המבוצעות ישירות על ידי פונקציות ייעודיות בתוכנת התוכנה הזדונית. חלק מהפלאגינים יכולים להתווסף גם באמצעות תקשורת C2 בגרסת Windows של SideWalk, אמרו חוקרים.
כל גרסה מבצעת התחמקות מהגנה גם בצורה שונה, מצאו חוקרים. גרסת Windows של SideWalk "מתאמצת מאוד כדי להסתיר את מטרות הקוד שלה" על ידי חיתוך כל הנתונים והקוד שהיו מיותרים לביצועו, והצפנת השאר.
גרסאות הלינוקס הופכות את הזיהוי והניתוח של הדלת האחורית ל"קלה משמעותית" על ידי הכללת סמלים והשארת כמה מפתחות אימות ייחודיים וחפצים אחרים לא מוצפנים, אמרו חוקרים.
"בנוסף, המספר הגבוה בהרבה של פונקציות מוטבעות בגרסה של Windows מעיד על כך שהקוד שלה הידור עם רמה גבוהה יותר של אופטימיזציות מהדר", הוסיפו.
