Бекдор SideWalk для Linux використовує кілька потоків для виконання одного завдання

Компанія Eset виявила бекдор для Linux, який використовує APT-група SparklingGoblin. Кіберзлочинці націлені на організації в різних галузях у всьому світі, однак найбільше зловмисників цікавлять цілі в галузі освіти Східної Азії.

У травні 2020 року група SparklingGoblin вперше скомпрометувала один університет Гонконгу. Після цього в лютому 2021 року у мережі цієї установи було виявлено бекдор SideWalk для Linux. Протягом тривалого часу кіберзлочинці атакували цей університет, успішно скомпрометувавши сервери друку та електронної пошти, а також сервер для управління розкладом студентів та реєстрацією курсів.

Бекдор для Linux має кілька подібностей з версією загрози для Windows, а також деякі нові технічні особливості. Зокрема бекдор SideWalk використовує кілька потоків для виконання одного конкретного завдання. При цьому в обох варіантах п’ять потоків виконуються одночасно, кожен з яких має певне завдання. Чотири команди не реалізовані або реалізовані іншим способом у варіанті бекдора для Linux.

У випадку із загрозою SideWalk для Windows зловмисники різними способами намагаються приховати цілі свого коду. Зокрема було видалено усі дані та код, які були непотрібні для виконання бекдора, а також зашифровано решту. Тоді як варіанти бекдора для Linux містять символи та залишають незашифрованими деякі унікальні ключі автентифікації та інші артефакти, що значно полегшує виявлення та аналіз.

Стратегія охолодження ЦОД для епохи AI