Ein SparklingGoblin bei der Arbeit
Ein SparklingGoblin bei der Arbeit
Bildquelle: Gorodenkoff, Lizenz

SparklingGoblin: China-Hacker nutzen Linux-Variante von SideWalk

Die chinesische Hackergruppe SparklingGoblin setzt eine Linux-Variante der SideWalk-Backdoor ein, um vorrangig akademische Ziele anzugreifen.

ESET Sicherheitsforscher berichten über eine Linux-Variante der SideWalk-Backdoor, mit der die chinesische Hackergruppe SparklingGoblin vorrangig akademische Ziele ins Visier nimmt. Dabei ist SideWalk nur eines von vielen Tools im Werkzeugkasten der Hacker.

SparklingGoblin hat Zugriff auf zahlreiche Tools

Im August 2021 entdeckten Sicherheitsforscher eine Windows-Malware mit dem Codenamen SideWalk (damals noch ScrambleCross). Chinesische Hacker setzten diese Malware ein, um ein Computerhandelsunternehmen in den USA anzugreifen. Doch im selben Jahr kam auch eine Linux-Variante von SideWalk bei einem Angriff auf eine Universität in Hongkong zum Einsatz.

Die dafür verantwortliche APT-Gruppe ist bekannt unter dem Namen SparklingGoblin und setzt ähnliche Taktiken, Techniken und Verfahren ein, wie APT41 und BARIUM. „Sie nutzt Motnug- und ChaCha20-basierte Loader, die CROSSWALK- und SideWalk-Backdoors sowie Korplug (alias PlugX) und Cobalt Strike„, berichtet das slowakische Cybersicherheitsunternehmen ESET. Sie sei außerdem eine der Gruppen mit Zugriff auf die ShadowPad-Backdoor.

Hacker nehmen akademischen Sektor ins Visier

Bezüglich ihrer Angriffsziele liege der Schwerpunkt der mindestens seit 2019 aktiven Hacker auf dem akademischen Sektor. Zumeist seien sie insbesondere in Ost- und Südostasien tätig. Bereits im Mai 2020 griffen sie während laufender Studentenproteste eine Universität in Hongkong an. Und genau die gleiche Hochschule war im Februar 2021 erneut Opfer eines Angriffs mit der neu aufgetauchten Linux-Variante von SideWalk, die SparklingGoblin bisher exklusiv einzusetzen scheint.

„Die Gruppe nahm diese Organisation über einen langen Zeitraum hinweg ins Visier und kompromittierte erfolgreich mehrere wichtige Server. Darunter waren ein Druckserver, ein E-Mail-Server und ein Server, der zur Verwaltung von Stundenplänen und Kursanmeldungen verwendet wird.“

ESET Forscher

Aus StageClient wird SideWalk

Erstmals dokumentierte das Team von ESET die Linux-Variante von SideWalk am 2. Juli 2021, damals noch unter dem Namen StageClient. Eine Verbindung zu SparklingGoblin und seiner SideWalk-Backdoor konnten die Sicherheitsforscher zu diesem Zeitpunkt jedoch noch nicht herstellen. „Der ursprüngliche Name wurde aufgrund des wiederholten Auftretens der Zeichenfolge StageClient im Code verwendet„, teilen die Experten in ihrem Bericht mit.

Die im September 2020 von 360 Netlab erstmals dokumentierte Botnetz-Malware Specter RAT ist nach Einschätzung der ESET Forscher ebenfalls eine Sidewalk Linux-Variante. Dies lässt sich auf die vielen Gemeinsamkeiten dieser Tools zurückführen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.