Por Francisco D’Agostino
Los investigadores de ESET han descubierto una variante de Linux de la puerta trasera SideWalk, uno de los múltiples implantes personalizados utilizados por el grupo SparklingGoblin APT. Esta variante se implementó por primera vez contra una universidad de Hong Kong en febrero de 2021, la misma universidad que ya había sido atacada por SparklingGoblin durante las protestas estudiantiles de mayo de 2020. SparklingGoblin es un grupo APT con objetivos principalmente en el este y sureste de Asia, aunque ESET Research ha visto SparklingGoblin apuntando a una amplia gama de organizaciones y verticales en todo el mundo, con un enfoque particular en el sector académico.
“La puerta trasera SideWalk es exclusiva de SparklingGoblin. Además de las múltiples similitudes de código entre las variantes de Linux de SideWalk y varias herramientas de SparklingGoblin, una de las muestras de SideWalk Linux usa una dirección C&C que SparklingGoblin usó anteriormente. Teniendo en cuenta todos estos factores, atribuimos con gran confianza SideWalk Linux al grupo SparklingGoblin APT”, explica Vladislav Hrčka, investigador de ESET que hizo el descubrimiento junto con Thibault Passilly y Mathieu Tartare.
Por Francisco D’Agostino
SparklingGoblin comprometió por primera vez a la universidad de Hong Kong en particular en mayo de 2020, y detectamos por primera vez la variante de Linux de SideWalk en la red de esa universidad en febrero de 2021. El grupo apuntó continuamente a esta organización durante un largo período de tiempo, comprometiendo con éxito varios servidores, incluida una impresora servidor, un servidor de correo electrónico y un servidor utilizado para administrar los horarios de los estudiantes y las inscripciones en los cursos. Esta vez, es una variante de Linux de la puerta trasera original. Esta versión de Linux presenta varias similitudes con su contraparte de Windows, junto con algunas novedades técnicas.
Una particularidad de SideWalk es el uso de múltiples subprocesos para ejecutar una única tarea específica. Nos dimos cuenta de que en ambas variantes hay exactamente cinco subprocesos ejecutados simultáneamente, y cada uno de ellos tiene una tarea específica. Cuatro comandos no están implementados o se implementan de manera diferente en la variante de Linux. “Teniendo en cuenta las numerosas superposiciones de código entre las muestras, creemos que en realidad encontramos una variante de Linux de SideWalk, a la que llamamos SideWalk Linux. Las similitudes incluyen el mismo ChaCha20 personalizado, la arquitectura de software, la configuración y la implementación de resolución de caída muerta”, dice Hrčka.
“La variante de Windows de SideWalk hace todo lo posible para ocultar los objetivos de su código. Recortó todos los datos y códigos que no eran necesarios para su ejecución y cifró el resto. Por otro lado, las variantes de Linux contienen símbolos y dejan algunas claves de autenticación únicas y otros artefactos sin cifrar, lo que facilita significativamente la detección y el análisis”, concluye Hrčka.
Por Francisco D’Agostino
Para obtener más información técnica sobre SideWalk Linux, consulte la publicación de blog «Nunca camina solo: la puerta trasera de SideWalk obtiene una variante de Linux» en WeLiveSecurity. Asegúrese de seguir a ESET Research en Twitter para conocer las últimas noticias de ESET Research.
