GoldenJackal ممثل التهديد

ارتبطت جهة تهديد أقل شهرة تُعرف باسم GoldenJackal بسلسلة من الهجمات الإلكترونية التي استهدفت السفارات والهيئات الحكومية، بهدف اختراق الأنظمة المعزولة عن العالم الخارجي من خلال مجموعتين مخصصتين ومميزتين من الأدوات.

وقد شملت الأهداف سفارة جنوب آسيوية تقع في بيلاروسيا ومنظمة حكومية داخل الاتحاد الأوروبي. ويبدو أن الهدف الأساسي لمجموعة GoldenJackal هو سرقة المعلومات الحساسة، وخاصة من الأنظمة البارزة التي قد تظل غير متصلة بالإنترنت.

لقد كان GoldenJackal نشطًا لسنوات

تم التعرف على GoldenJackal لأول مرة في مايو 2023، عندما أبلغ الباحثون عن هجمات مجموعة التهديدات التي تستهدف الكيانات الدبلوماسية والحكومية في الشرق الأوسط وجنوب آسيا. يمكن تتبع عمليات المجموعة إلى عام 2019 على الأقل. أحد الجوانب البارزة لهذه الاختراقات هو نشر دودة تُعرف باسم JackalWorm، والتي يمكنها إصابة محركات أقراص USB المتصلة وتسليم حصان طروادة يشار إليه باسم JackalControl.

ورغم عدم وجود أدلة كافية لربط هذه الأنشطة بشكل قاطع بتهديد دولة قومية معينة، فإن هناك بعض أوجه التشابه التكتيكية مع الأدوات الخبيثة المستخدمة في الحملات المنسوبة إلى Turla وMoustachedBouncer، والتي ركزت الأخيرة أيضًا على السفارات الأجنبية في بيلاروسيا.

تهديدات متعددة بالبرمجيات الخبيثة تم نشرها بواسطة GoldenJackal

تمكن خبراء أمن المعلومات من تحديد القطع الأثرية المرتبطة بـ GoldenJackal في سفارة جنوب آسيا في بيلاروسيا خلال شهري أغسطس وسبتمبر 2019، مع اكتشافات أخرى في يوليو 2021. والجدير بالذكر أن الجهة الفاعلة في التهديد نشرت بنجاح مجموعة أدوات محدثة بالكامل ضد كيان حكومي تابع للاتحاد الأوروبي بين مايو 2022 ومارس 2024.

إن البراعة التي أظهرتها المجموعة في تطوير ونشر مجموعتين متميزتين من الأدوات المصممة خصيصًا لاختراق الأنظمة المعزولة على مدار خمس سنوات تسلط الضوء على براعة المجموعة.

وبحسب ما ورد استخدم الهجوم على السفارة الجنوب آسيوية في بيلاروسيا ثلاث عائلات مختلفة من البرامج الضارة إلى جانب JackalControl وJackalSteal وJackalWorm:

• GoldenDealer، الذي يسهل تسليم الملفات القابلة للتنفيذ إلى الأنظمة المعزولة هوائيًا من خلال محركات أقراص USB المخترقة.
• GoldenHowl، وهو باب خلفي معياري قادر على سرقة الملفات، وإنشاء مهام مجدولة، وتحميل وتنزيل الملفات من وإلى خادم بعيد، وإنشاء نفق SSH.
• GoldenRobo، أداة مصممة لجمع الملفات واستخراج البيانات.

مجموعة جديدة من الأدوات التهديدية المستخدمة في الهجمات

وعلى النقيض من ذلك، استخدمت الهجمات التي استهدفت منظمة حكومية مجهولة في أوروبا مجموعة جديدة تمامًا من أدوات البرامج الضارة المكتوبة في الأساس بلغة Go. وقد صُممت هذه الأدوات لجمع الملفات من محركات أقراص USB، ونشر البرامج الضارة عبر محركات أقراص USB، واستخراج البيانات، واستخدام خوادم معينة كخوادم مؤقتة لتوزيع الحمولات على مضيفين آخرين:

• GoldenUsbCopy وخليفته المحسن GoldenUsbGo، الذي يراقب محركات أقراص USB وينسخ الملفات لاستخراجها.
• GoldenAce، الذي يستخدم لنشر البرمجيات الخبيثة، بما في ذلك نسخة خفيفة الوزن من JackalWorm، إلى أنظمة أخرى (ليس بالضرورة معزولة عن الهواء) من خلال محركات أقراص USB.
• GoldenBlacklist ومتغير Python الخاص به، GoldenPyBlacklist، الذي يعالج رسائل البريد الإلكتروني ذات الأهمية من أجل استخراجها في المستقبل.
• GoldenMailer، الذي يرسل البيانات المحصودة إلى المهاجمين عبر البريد الإلكتروني.
• GoldenDrive، الذي يقوم بتحميل المعلومات المحصودة إلى Google Drive.

في الوقت الحالي، لا يزال من غير الواضح كيف يقوم GoldenJackal في البداية باختراق البيئات المستهدفة. ومع ذلك، اقترح الباحثون سابقًا أن برامج التثبيت المصابة بأحصنة طروادة في Skype ومستندات Microsoft Word الفاسدة قد تكون بمثابة نقاط دخول محتملة.

كيف تتم هجمات GoldenJackal؟

بمجرد تثبيت GoldenDealer على جهاز كمبيوتر متصل بالإنترنت من خلال طريقة غير معروفة، يتم تنشيطه عند إدخال محرك أقراص USB. يؤدي هذا الإجراء إلى نسخ نفسه ومكون دودة غير معروف على الجهاز القابل للإزالة. يُعتقد أن هذا المكون غير المعروف يتم تنفيذه عند توصيل محرك أقراص USB المصاب بنظام معزول، وبعد ذلك يجمع GoldenDealer معلومات حول الجهاز ويحفظها على محرك أقراص USB.

عندما يتم إعادة إدخال جهاز USB في الكمبيوتر المتصل بالإنترنت، يقوم GoldenDealer بنقل المعلومات المخزنة على القرص إلى خادم خارجي، والذي يقوم بعد ذلك بإرسال الحمولات المناسبة ليتم تنفيذها على النظام المعزول. كما أن البرنامج الخبيث مسؤول عن نسخ الملفات القابلة للتنفيذ التي تم تنزيلها إلى محرك أقراص USB. في المرحلة النهائية، عندما يتم توصيل الجهاز بالجهاز المعزول مرة أخرى، يقوم GoldenDealer بتنفيذ الملفات القابلة للتنفيذ المنسوخة.

بالإضافة إلى ذلك، يعمل GoldenRobo على جهاز كمبيوتر متصل بالإنترنت، وهو مصمم لاسترجاع الملفات من محرك أقراص USB وإرسالها إلى الخادم الذي يتحكم فيه المهاجم. هذا البرنامج الخبيث، الذي تم تطويره بلغة Go، يستمد اسمه من أداة مساعدة شرعية لنظام Windows تسمى robocopy، والتي يستخدمها لتنفيذ عمليات نقل الملفات.

ولم يتمكن الباحثون حتى الآن من تحديد وحدة منفصلة مسؤولة عن نقل الملفات من الكمبيوتر المعزول عن الهواء إلى محرك أقراص USB نفسه.

تُظهر القدرة على نشر مجموعتين مختلفتين من الأدوات لاختراق الشبكات المعزولة في غضون خمس سنوات فقط أن GoldenJackal هي جهة تهديد متطورة تفهم استراتيجيات تقسيم الشبكة التي تستخدمها أهدافها.