Suç grubunun hedefi üniversiteler – MediaTrend
ESET araştırmacıları, SparklingGoblin APT grubu tarafınca kullanılan SideWalk arka kapısının bir Linux türünü keşfetti. SparklingGoblin, hedeflerini çoğunlukla Doğu ve Güneydoğu Asya’dan seçiyor.
ESET Research, SparklingGoblin’in bilhassa eğitim sektörüne odaklanarak dünya genelinde oldukca çeşitli kuruluşları ve sektörleri hedeflediğini gözlemledi. Araştırma verilerine nazaran SideWalk arka kapısı Şubat 2021’de bir Hong Kong üniversitesine karşı konuşlandırıldı. Üniversite Mayıs 2020’deki talebe protestoları esnasında SparklingGoblin tarafınca gene hedef alınmıştı.
Thibault Passilly ve Mathieu Tartare ile beraber bu varyantı keşfeden ESET araştırmacısı Vladislav Hrčka bu mevzuda şunları söylemiş oldu: “SideWalk arka kapısı SparklingGoblin’e hususi. SideWalk’ın Linux türevleri ile çeşitli SparklingGoblin araçları arasındaki çoklu kod benzerliklerine ek olarak, SideWalk Linux örneklerinden biri, daha ilkin SparklingGoblin tarafınca kullanılan bir C&C adresini de kullanır. Tüm bu faktörleri göz önünde bulundurarak, SideWalk Linux’un SparklingGoblin APT grubuyla ilişkili olduğuna eminiz.
SparklingGoblin’in söz mevzusu Hong Kong üniversitesinin güvenliğini Mayıs 2020’de ihlal etmesinin peşinden, SideWalk’ın Linux varyantı bu üniversitenin ağında ilk olarak Şubat 2021’de tespit edildi. Grup, uzun bir süre süresince bu kuruluşu hedef aldı ve aralarında bir yazıcı sunucusu, bir e-posta sunucusu ve talebe programlarının ve ders kayıtlarının yönetiminde kullanılan bir sunucunun da olduğu birden oldukca sunucuya sızmayı başardı. Bu seferki, emsalsiz arka kapının bir Linux çeşidi. Bu Linux sürümü, bazı teknik yeniliklerin yanı sıra Windows muadiliyle çeşitli benzerlikler sergiliyor.
SideWalk’ın bir özelliği, tek bir belirli görevi yürütmek için birden oldukca iş parçacığının kullanılmasıdır. Her iki varyantta da, her birinin belirli bir görevi olan, aynı anda yürütülen tam olarak beş iş parçacığı bulunduğunu fark ettik. Linux varyantında dört komut uygulanmaz yada değişik şekilde uygulanır. SideWalk’ın Windows varyantı, kodunun amaçlarını gizlemek için büyük çaba harcıyor. Bu amaçla, yürütülmesi için gereksiz tüm verileri ve kodları kırpıyor ve gerisini şifreliyor. Öte taraftan, Linux varyantları semboller içeriyor ve bazı benzersiz kimlik doğrulama anahtarlarını ve öteki yapıları şifrelenmemiş halde bırakıyor, bu da idrak etme ve analizi mühim seviyede kolaylaştırıyor.
