SparklingGoblin APT Grubunun Hedefi Üniversiteler

sparklinggoblin apt grubunun hedefi universiteler COAl5DvC

SparklingGoblin APT Grubu

ESET araştırmacıları, SparklingGoblin APT kümesi tarafından kullanılan SideWalk art kapısının bir Linux çeşidini keşfetti. SparklingGoblin, gayelerini çoğunlukla Doğu ve Güneydoğu Asya’dan seçiyor.

ESET Research, SparklingGoblin’in bilhassa eğitim bölümüne odaklanarak dünya çapında çok çeşitli kuruluşları ve bölümleri hedeflediğini gözlemledi. Araştırma bilgilerine nazaran SideWalk art kapısı Şubat 2021’de bir Hong Kong üniversitesine karşı konuşlandırıldı. Üniversite Mayıs 2020’deki öğrenci protestoları sırasında SparklingGoblin tarafından yeniden maksat alınmıştı.

Thibault Passilly ve Mathieu Tartare ile birlikte bu varyantı keşfeden ESET araştırmacısı Vladislav Hrčka bu hususta şunları söyledi: “SideWalk art kapısı SparklingGoblin’e özel. SideWalk’ın Linux türevleri ile çeşitli SparklingGoblin araçları ortasındaki çoklu kod benzerliklerine ek olarak, SideWalk Linux örneklerinden biri, daha evvel SparklingGoblin tarafından kullanılan bir C&C adresini de kullanır. Tüm bu faktörleri göz önünde bulundurarak, SideWalk Linux’un SparklingGoblin APT kümesiyle bağlı olduğuna eminiz.

SideWalk Linux 1

SparklingGoblin’in kelam konusu Hong Kong üniversitesinin güvenliğini Mayıs 2020’de ihlal etmesinin akabinde, SideWalk’ın Linux varyantı bu üniversitenin ağında birinci olarak Şubat 2021’de tespit edildi. Küme, uzun bir mühlet boyunca bu kuruluşu amaç aldı ve ortalarında bir yazıcı sunucusu, bir e-posta sunucusu ve öğrenci programlarının ve ders kayıtlarının idaresinde kullanılan bir sunucunun da olduğu birden çok sunucuya sızmayı başardı. Bu seferki, özgün art kapının bir Linux çeşidi. Bu Linux sürümü, kimi teknik yeniliklerin yanı sıra Windows muadiliyle çeşitli benzerlikler sergiliyor.

SideWalk’ın bir özelliği, tek bir makul misyonu yürütmek için birden çok iş parçacığının kullanılmasıdır. Her iki varyantta da, her birinin makul bir vazifesi olan, birebir anda yürütülen tam olarak beş iş parçacığı olduğunu fark ettik. Linux varyantında dört komut uygulanmaz yahut farklı biçimde uygulanır. SideWalk’ın Windows varyantı, kodunun hedeflerini gizlemek için büyük uğraş harcıyor. Bu hedefle, yürütülmesi için gereksiz tüm bilgileri ve kodları kırpıyor ve gerisini şifreliyor. Öte yandan, Linux varyantları semboller içeriyor ve birtakım eşsiz kimlik doğrulama anahtarlarını ve başka yapıları şifrelenmemiş halde bırakıyor, bu da algılama ve tahlili kıymetli ölçüde kolaylaştırıyor.