ESET виявив бекдор для Linux, націлений на організації в галузі освіти
ESET виявив бекдор для Linux, націлений на організації в галузі освіти
ESET виявив бекдор для Linux, який використовує APT-група SparklingGoblin. Кіберзлочинці націлені на організації у різних галузях у всьому світі, проте найбільше зловмисників цікавлять цілі в галузі освіти Східної Азії.
«Бекдор SideWalk є ексклюзивним для групи SparklingGoblin. На додаток до багатьох подібностей коду між варіантами бекдора для Linux і різними інструментами кіберзлочинців, один із зразків використовує адресу командного сервера, який раніше застосовував SparklingGoblin. Це ще раз підтверджує належність загрози APT-групі SparklingGoblin», — пояснює Владислав Хрчка, дослідник ESET.
У травні 2020 року група SparklingGoblin вперше скомпрометувала один університет Гонконгу. Після цього в лютому 2021 року в мережі цієї установи було виявлено бекдор SideWalk для Linux. Протягом тривалого часу кіберзлочинці атакували університет, успішно скомпрометувавши сервери друку та електронної пошти, а також сервер для управління розкладом студентів та реєстрацією курсів.
У бекдора для Linux є кілька подібностей із версією загрози для Windows, а також деякі нові технічні особливості. Зокрема бекдор SideWalk використовує кілька потоків для виконання одного конкретного завдання. При цьому в обох варіантах п'ять потоків виконуються одночасно, кожен з яких має певне завдання. Чотири команди не реалізовані або реалізовані в інший спосіб у варіанті бекдора для Linux.
«У разі загрози SideWalk для Windows зловмисники різними способами намагаються приховати цілі свого коду. Зокрема були видалені всі дані та код, які були не потрібні для виконання бекдору, а також зашифровані інші. У той час як варіанти бекдору для Linux містять символи та залишають незашифрованими деякі унікальні ключі автентифікації та інші артефакти, що значно полегшує виявлення та аналіз», – додає дослідник ESET.
Великі компанії та державні установи, включаючи навчальні заклади, завжди будуть привабливою метою атак кіберзлочинців. Щоб зменшити потенційні ризики, слід створити багаторівневу систему кіберзахисту та подбати про безпеку даних. Зокрема, організаціям уже зараз слід забезпечити всебічний захист робочих станцій, розширений аналіз загроз, виявлення та реагування, а також запобігання втраті конфіденційних даних.