Компания ESET – лидер в области информационной безопасности – обнаружила бекдор для Linux, который использует APT-группа SparklingGoblin. Киберпреступники нацелены на организации в разных отраслях во всем мире, однако больше всего злоумышленников интересуют цели в области образования Восточной Азии.
«Бекдор SideWalk эксклюзивен для группы SparklingGoblin. В дополнение ко многим сходствам кода между вариантами бэкдора для Linux и различными инструментами киберпреступников, один из образцов использует адрес командного сервера, ранее применявшийся группой SparklingGoblin. Это еще раз подтверждает принадлежность угрозы к APT-группе SparklingGoblin», — объясняет Владислав Хрчка, исследователь ESET.
В мае 2020 года группа SparklingGoblin впервые скомпрометировала один университет Гонконга. После этого в феврале 2021 года в сети этого учреждения был обнаружен бэкдор SideWalk для Linux. В течение длительного времени киберпреступники атаковали университет, успешно скомпрометировав серверы печати и электронной почты, а также сервер для управления расписанием студентов и регистрацией курсов.
У бекдора для Linux есть несколько сходств с версией угрозы для Windows, а также некоторые новые технические особенности. В частности, бэкдор SideWalk использует несколько потоков для выполнения одной конкретной задачи. При этом в обоих вариантах пять потоков выполняются одновременно, каждый из которых имеет определенную задачу. Четыре команды не реализованы или реализованы другим способом в варианте бэкдора для Linux.
«В случае с угрозой SideWalk для Windows злоумышленники разными способами пытаются скрыть цели своего кода. В частности, были удалены все данные и код, которые были не нужны для выполнения бэкдора, а также зашифрованы остальные. В то время как варианты бэкдора для Linux содержат символы и оставляют незашифрованными некоторые уникальные ключи аутентификации и другие артефакты, что значительно облегчает обнаружение и анализ», – добавляет исследователь ESET.
Крупные компании и государственные учреждения, включая учебные заведения, всегда будут привлекательной целью для атак киберпреступников. Чтобы уменьшить потенциальные риски, следует создать многоуровневую систему киберзащиты и позаботиться о безопасности данных. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.
Читайте также:
Safetica предоставляет украинским компаниям бесплатные лицензии на DLP-решение
Проверьте безопасность компьютера: 10 шагов для улучшения защиты от хакеров
Рейтинг Интернет-угроз: влияние войны в Украине и самые активные вредоносные программы