Chinesische Hacker entwickeln Linux-Variante für SideWalk-Backdoor

Forscher des IT-Security-Anbieters ESET haben eine Linux-Variante für die SideWalk-Backdoor entdeckt, die gegen Windows-Systeme von Hochschulen und Universitäten eingesetzt wird. Die von der staatlich unterstützten chinesischen APT-Hackergruppe SparklingGoblin entwickelte Variante wurde erstmals im Februar 2021 gegen eine Universität in Hongkong eingesetzt. Bisher galt SparklingGoblin als eine Hackergruppe, die hauptsächlich Ziele in Ost- und Südostasien angreift. ESET Research hat jedoch festgestellt, dass SparklingGoblin inzwischen Organisationen und Branchen auf der ganzen Welt ins Visier genommen hat, mit einem besonderen Fokus auf den akademischen Sektor.

“Zusätzlich zu den zahlreichen Code-Ähnlichkeiten zwischen den Linux-Varianten von SideWalk und verschiedenen SparklingGoblin-Tools, verwendet eines der SideWalk-Linux-Samples eine C&C-Adresse, die zuvor von SparklingGoblin verwendet wurde. Daher können wir SideWalk Linux mit hoher Wahrscheinlichkeit der SparklingGoblin APT-Gruppe zuordnen”, erklärt ESET-Forscher Vladislav Hrčka.

Server erfolgreich kompromittiert

SparklingGoblin hat die Universität in Hongkong über einen langen Zeitraum hinweg ins Visier genommen und erfolgreich mehrere Server kompromittiert, darunter einen Druckserver, einen E-Mail-Server und einen Server, der zur Verwaltung von Stundenplänen und Kursanmeldungen verwendet wird. Diesmal handelt es sich um eine Linux-Variante der ursprünglichen Backdoor. Diese Linux-Version weist einige Ähnlichkeiten mit ihrem Windows-Pendant auf, enthält aber auch einige technische Neuerungen.

Eine Besonderheit von SideWalk ist die Verwendung mehrerer Threads zur Ausführung jeweils einer einzigen spezifischen Aufgabe. Die ESET-Forshcer haben festgestellt, dass in beiden Varianten fünf Threads gleichzeitig ausgeführt werden. “In Anbetracht der zahlreichen Code-Überschneidungen glauben wir, dass wir tatsächlich eine Linux-Variante von SideWalk gefunden haben, die wir SideWalk Linux genannt haben. Zu den Gemeinsamkeiten gehören dasselbe angepasste ChaCha20, dieselbe Software-Architektur, Konfiguration und Dead-Drop-Resolver-Implementierung”, so Hrčka.