Una nueva variante de Linux se usó como una clase de puerta trasera, la cual es conocida como SideWalk, se usó como arma para apuntar a una universidad de Hong Kong en febrero del 2021, lo que realza las capacidades multiplataformas del implante, el grupo SparklingGoblin esta detrás de este problema.
La empresa de seguridad de origen eslovaco ESET, detectó este malware en la red perteneciente a la universidad, así fue como atribuyó dicha puerta trasera a un actor de estado nación denominado como SparklingGoblin.
Además de esto, también se tiene registro que la universidad no identificada ya fue atacada anteriormente por el mismo grupo, para ser un poco más exactos en el año 2020 durante las protestas estudiantiles.
A continuación, te ofrece un mensaje por parte de ESET en un informe compartido con The Hacker News:
El grupo apuntó continuamente a esta organización durante un largo período de tiempo, comprometiendo con éxito múltiples servidores clave, incluido un servidor de impresión, un servidor de correo electrónico y un servidor utilizado para administrar los horarios de los estudiantes y las inscripciones en los cursos.
SparklingGoblin es denominado como el terror asiático en el sector de amenazas
SparklingGoblin es el nombre que se le dio a un grupo chino de amenazas altamente persistentes avanzadas (APT), con conexiones al paraguas winnti, además de APT 41, Bario, Earth Baku o Wicked Panda.
Este es conocido principalmente por todos sus ataques dirigidos a varias entidades del este y sudeste de Asia, desde el año 2019 con un enfoque muy específico al sector académico.
En agosto del año 2021, ESET descubrió una nueva pieza de software de Windows personalizado, el cuál lleva por nombre SideWalk (también conocido cómo ScreamBleCros).
El cual fue aprovechado muy bien por el actor para llevar a cabo ataques a una empresa minorista de computadoras, sin nombre y con sede principal en los Estados Unidos.
Hallazgos posteriores de Symantec, la cual es parte del software de Broadcom, vincularon el uso de SideWalk con un grupo de ataque de espionaje que rastrea bajo el nombre de Grayfly, el tiempo el cuál señalan las similitudes de este malware con el de Crosswalk.
Todas las tácticas, técnicas y procedimientos (TTP) que usa SparklingGoblin se superponen de manera parcial con los TTP de APT41, dijo a The Hacker News Mathieu Tartare, investigador experto de malware por parte de ESET.
La definición de Grayfly que fue dada por Symantec, al menos de forma parcial, para superponerse con SparklingGobliny; la última investigación por parte de ESET nos sumerge en la contraparte de Linux de SideWalk.
Además de esto, el análisis también demuestra que Spectre RAT, una Botnet de Linux, saliera a la luz en septiembre del 2020, esta es una variante temprana de lo que conocemos cómo SideWalk para Linux.
Una similitud interesante entre SideWalk Linux y las de SparklingGoblin
Además de todas las múltiples similitudes de código que existe entre SideWalk y varias de las herramientas de SparklingGoblin, se encontró de las muestras de Linux usando una dirección de comando y control (66.42.103[.]222) que SparklingGoblin usó anteriormente.
Otros de los puntos en común que debemos destacar es el uso de la misma implementación, ChaCha20 a medida, muchos subprocesos para poder ejecutar una tarea particular para poder ejecutar una tarea particular.
El algoritmo de ChaCha20 para poder descifrar su configuración, además de una carga útil de resolución de caída muerta idéntica.
A pesar y todas y cada una de estas superposiciones, existen algunos cambios significativos, el más notable de estos es el cambio de C a C++; la adición de nuevos módulos integrados para poder ejecutar tareas programadas y poder recopilar información del sistema, también cambios en cuatro comandos que no se manejan en la versión de Linux.
Dado que hemos observado la variante de Linux solo una vez en nuestra telemetría (implementada en una universidad de Hong Kong en febrero de 2021), se puede considerar que la variante de Linux es menos frecuente, pero también tenemos menos visibilidad en los sistemas Linux, lo que podría explicar esto. – dijo Tartar en un informe explicativo
Por otro lado, la variante Spectre Linux se usa contra cámaras IP y dispositivos NVR y DVR (en los que no tenemos visibilidad alguna) y se propaga masivamente al explotar una vulnerabilidad en dichos dispositivos.
¿Qué opinas al respecto de todo este problema alrededor de Linux y los piratas informáticos chinos del grupo SparklingGoblin?
