ESET découvre une nouvelle porte dérobée du groupe SparklingGoblin qui cible une université de Hong Kong
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une variante Linux de la porte dérobée SideWalk, l’un des multiples modules personnalisés utilisés par le groupe de pirates SparklingGoblin. Cette variante a été déployée pour la première fois contre une université de Hong Kong en février 2021. C’est la même université qui avait déjà été visée par SparklingGoblin lors des manifestations étudiantes de mai 2020. SparklingGoblin est un groupe de pirates dont les cibles sont principalement situées en Asie de l’Est et du Sud-Est, bien qu’ESET Research ait noté qu’il s’intéressait à un large éventail d’organisations et de secteurs dans le monde entier, avec un accent particulier sur le monde universitaire.
« La porte dérobée SideWalk est exclusive à SparklingGoblin. Outre les multiples similitudes entre les variantes Linux de SideWalk et les différents outils de SparklingGoblin au niveau de leur programmation, l’un des échantillons Linux de SideWalk utilise une adresse de serveur de commande et de contrôle qui a été utilisée précédemment par SparklingGoblin. Compte tenu de tous ces facteurs, nous attribuons SideWalk Linux au groupe SparklingGoblin avec quasi-certitude, » explique Vladislav Hrčka, le chercheur d’ESET qui partage cette découverte avec Thibault Passilly et Mathieu Tartare.
SparklingGoblin a d’abord compromis l’université de Hong Kong en mai 2020, et nous avons détecté pour la première fois la variante Linux de SideWalk dans le réseau de cette université en février 2021. Le groupe a continuellement ciblé cette organisation sur une longue période, réussissant à compromettre plusieurs serveurs, notamment un serveur d’impression, un serveur de messagerie, ainsi qu’un serveur utilisé pour gérer les horaires des étudiants et les inscriptions aux cours. Cette fois, c’est une variante Linux de la porte dérobée originale. Cette version Linux présente plusieurs similarités avec son homologue Windows, ainsi que quelques nouveautés techniques.
L’utilisation de plusieurs threads pour exécuter une seule tâche spécifique est une particularité de SideWalk. Nous avons remarqué que dans les deux variantes, exactement cinq threads sont exécutés simultanément, chacun d’entre eux ayant une tâche spécifique. Quatre commandes ne sont pas implémentées ou sont implémentées différemment dans la variante Linux. « Compte tenu des nombreux chevauchements entre les échantillons, nous pensons avoir trouvé une variante Linux de SideWalk, que nous avons baptisée SideWalk Linux. Les deux possèdent le même ChaCha20 personnalisé, la même architecture logicielle, la même configuration et la même mise en œuvre du « dead drop resolver”, » explique M. Hrčka.
« La variante Windows de SideWalk se donne beaucoup de mal pour dissimuler les objectifs de son code. Elle a supprimé toutes les données et le code qui n’étaient pas nécessaires à son exécution et a chiffré le reste. En revanche, les variantes Linux contiennent des symboles, et certaines clés d’authentification uniques et autres artefacts en clair, ce qui facilite considérablement la détection et l’analyse, » conclut M. Hrčka.