Chinesische Hacker entwickeln Linux-Variante für SideWalk-Backdoor

Forscher des IT-Security-Anbieters ESET haben eine Linux-Variante für die SideWalk-Backdoor entdeckt, die gegen Windows-Systeme von Hochschulen und Universitäten eingesetzt wird. Die von der staatlich unterstützten chinesischen APT-Hackergruppe SparklingGoblin entwickelte Variante wurde erstmals im Februar 2021 gegen eine Universität in Hongkong eingesetzt. Bisher galt SparklingGoblin als eine Hackergruppe, die hauptsächlich Ziele in Ost- und Südostasien angreift. ESET Research hat jedoch festgestellt, dass SparklingGoblin inzwischen Organisationen und Branchen auf der ganzen Welt ins Visier genommen hat, mit einem besonderen Fokus auf den akademischen Sektor.

“Zusätzlich zu den zahlreichen Code-Ähnlichkeiten zwischen den Linux-Varianten von SideWalk und verschiedenen SparklingGoblin-Tools, verwendet eines der SideWalk-Linux-Samples eine C&C-Adresse, die zuvor von SparklingGoblin verwendet wurde. Daher können wir SideWalk Linux mit hoher Wahrscheinlichkeit der SparklingGoblin APT-Gruppe zuordnen”, erklärt ESET-Forscher Vladislav Hrčka.

Server erfolgreich kompromittiert

SparklingGoblin hat die Universität in Hongkong über einen langen Zeitraum hinweg ins Visier genommen und erfolgreich mehrere Server kompromittiert, darunter einen Druckserver, einen E-Mail-Server und einen Server, der zur Verwaltung von Stundenplänen und Kursanmeldungen verwendet wird. Diesmal handelt es sich um eine Linux-Variante der ursprünglichen Backdoor. Diese Linux-Version weist einige Ähnlichkeiten mit ihrem Windows-Pendant auf, enthält aber auch einige technische Neuerungen.

Eine Besonderheit von SideWalk ist die Verwendung mehrerer Threads zur Ausführung jeweils einer einzigen spezifischen Aufgabe. Die ESET-Forshcer haben festgestellt, dass in beiden Varianten fünf Threads gleichzeitig ausgeführt werden. “In Anbetracht der zahlreichen Code-Überschneidungen glauben wir, dass wir tatsächlich eine Linux-Variante von SideWalk gefunden haben, die wir SideWalk Linux genannt haben. Zu den Gemeinsamkeiten gehören dasselbe angepasste ChaCha20, dieselbe Software-Architektur, Konfiguration und Dead-Drop-Resolver-Implementierung”, so Hrčka.

Roger Homrich

Recent Posts

Siemens automatisiert Analyse von OT-Schwachstellen

Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.

20 Stunden ago

Cyberabwehr mit KI und passivem Netzwerk-Monitoring

Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.

3 Tagen ago

Zero Trust bei Kranich Solar

Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.

3 Tagen ago

KI in der Medizin: Mit Ursache und Wirkung rechnen

Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…

4 Tagen ago

Sicherheit für vernetzte, medizinische Geräte

Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.

4 Tagen ago

Blockchain bleibt Nischentechnologie

Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.

4 Tagen ago