„SparklingGoblin“ naujas APT skirtas subjektams Šiaurės Amerikoje
Atlikę tyrimus ir sekdami kitą tyrimo vektorių, saugumo tyrėjai, atrodo, susidūrė su visiškai nauju skaitmeninio kraštovaizdžio veikėju. Naująjį APT arba aktyvų nuolatinės grėsmės veikėją mokslininkai vadina „SparklingGoblin“. Jos veikla buvo siejama su išpuoliais, nukreiptais prieš Šiaurės Amerikoje esančias institucijas ir įmones.
„SparklingGoblin“ yra naujas APT, tačiau, remiantis iki šiol atliktais stebėjimais ir tyrimais, atrodo, kad jis yra susijęs su kitu žinomu grėsmės veikėju. Su „SparklingGoblin“ susietas subjektas yra koduojamas kaip APT41 ir yra žinomas keliais pavadinimais, įskaitant „Wicked Panda“ ir „Winnti Group“. Mokslininkai mano, kad „Winnti Group“ yra grėsmių veikėjas, veikiantis ne Kinijoje, remiamas šalies vyriausybės.
Ryšys tarp dviejų APT pirmiausia buvo rastas abiejų naudojamame infiltracijos įrankių rinkinyje. „SparklingGoblin“ buvo rastas naudojant naujas užpakalines duris, primenančias „Winnti Group“ anksčiau naudojamą užpakalinių durų įrankį.
Naujasis „SparklingGoblin“ naudojamos kenkėjiškos programos egzempliorius vadinamas „SideWalk“ ir yra daug panašumų tarp jo ir senesnio tyrėjams žinomo įrankio, vadinamo „CrossWalk“, kurį anksčiau naudojo „Winnti Group“. Tai buvo vienas pagrindinių rodiklių, rodančių, kad abu APT yra susiję, taip pat tai, kad jie abu naudoja kinų kalbą.
Mokslininkai specialiai neieškojo naujo grėsmės veikėjo. Iš tikrųjų jie iš pradžių atliko tyrimą dėl „Winnti Group“ veiklos, tačiau susidūrė su kenkėjiškų programų pavyzdžiu, kuris nurodė, kad tai yra naujas subjektas. Jie rado kenkėjiškų programų pavyzdį, kuris buvo supakuotas kaip „Winnti Group“ „CrossWalk“ ir elgėsi panašiai, vykdydamas apvalkalo kodą naudodamas komandas, gautas iš komandų ir valdymo serverio.
Tačiau buvo vienas esminis skirtumas. „SparklingGoblin“ naudojamas „SideWalk“ įrankis naudojo kitokį „PlugX“ kenkėjiškos programos variantą, mokslininkų vadinamą „Korplug“. Jis taip pat galėjo naudoti „Google“ dokumentų debesies serverius kaip naudingos apkrovos vietą.
Įdiegta sistemoje, „SideWalk“ naudoja tuščiavidurį procesą, kad įterptų kenkėjišką kodą, kurį jau iššifravo užpakalinės durys. Tyrėjai teigė, kad „SparklingGoblin“ gauja, valdanti užpakalines duris, renka informaciją apie sistemas, į kurias ji įsiskverbia. Iki šiol Šiaurės Amerikoje taikiniai buvo Kanados mokyklos ir JAV įsikūręs kompiuterių mažmenininkas.