GoldenJackal -uhkanäyttelijä

Vähemmän tunnettu uhkatekijä, joka tunnetaan nimellä GoldenJackal, on liitetty joukkoon suurlähetystöjä ja valtion elimiä vastaan suunnattuja kyberhyökkäyksiä, joiden tarkoituksena on murtaa ilmarakoiset järjestelmät kahden erillisen mukautetun työkalusarjan avulla.

Kohteita ovat olleet Valko-Venäjällä sijaitseva Etelä-Aasian suurlähetystö ja Euroopan unionin (EU) valtiollinen organisaatio. GoldenJackalin ensisijainen tavoite näyttää olevan arkaluontoisten tietojen varastaminen, erityisesti korkean profiilin järjestelmistä, jotka saattavat jäädä irti Internetistä.

GoldenJackal on ollut aktiivinen vuosia

GoldenJackal tunnistettiin ensimmäisen kerran toukokuussa 2023, kun tutkijat raportoivat uhkaklusterin hyökkäyksistä Lähi-idän ja Etelä-Aasian diplomaatti- ja hallintoelimiin. Ryhmän toiminta voidaan jäljittää ainakin vuoteen 2019 asti. Huomattava näkökohta näissä tunkeutumisissa on JackalWorm-madon käyttöönotto, joka voi saastuttaa liitetyt USB-asemat ja toimittaa troijalaisen, jota kutsutaan nimellä JackalControl.

Vaikka ei ole tarpeeksi todisteita näiden toimintojen yhdistämiseksi lopullisesti tiettyyn kansallisvaltion uhkaan, on olemassa taktisia yhtäläisyyksiä Turlan ja MoustachedBouncerin kampanjoissa käytettyjen haitallisten työkalujen kanssa, joista jälkimmäinen on keskittynyt myös Valko-Venäjän ulkomaisiin suurlähetystöihin.

GoldenJackalin käyttöönottamat useat haittaohjelmauhat

Tietoturva-asiantuntijat tunnistivat GoldenJackaliin liittyviä esineitä Etelä-Aasian suurlähetystöstä Valko-Venäjällä elo- ja syyskuussa 2019, ja lisälöytöjä tehtiin heinäkuussa 2021. Erityisesti uhkatoimija otti onnistuneesti käyttöön täysin päivitetyn työkalusarjan Euroopan unionin hallituksen yksikköä vastaan toukokuun 2022 ja maaliskuun välisenä aikana. 2024.

Kahden erillisen työkalusarjan kehittäminen ja käyttöönotto viiden vuoden aikana, jotka on suunniteltu erityisesti ilmarakoisten järjestelmien vaarantamiseen, osoittavat ryhmän kekseliäisyyttä.

Hyökkäys Etelä-Aasian Valko-Venäjän suurlähetystöä vastaan käytti tietoisesti kolmea eri haittaohjelmaperhettä JackalControlin, JackalStealin ja JackalWormin ohella:

• GoldenDealer, joka helpottaa suoritettavien tiedostojen toimittamista ilmarakoisiin järjestelmiin vaarantuneiden USB-asemien kautta.
• GoldenHowl, modulaarinen takaovi, joka pystyy varastamaan tiedostoja, luomaan ajoitettuja tehtäviä, lähettämään ja lataamaan tiedostoja etäpalvelimelle ja sieltä sekä muodostamaan SSH-tunnelin.
• GoldenRobo, työkalu, joka on suunniteltu tiedostojen keräämiseen ja tietojen suodattamiseen.

Hyökkäyksissä käytetyt uudet uhkailuvälineet

Sitä vastoin nimettömään hallintoorganisaatioon Euroopassa kohdistetut hyökkäykset ovat käyttäneet täysin uusia haittaohjelmatyökaluja, jotka on kirjoitettu pääasiassa Go-kielellä. Nämä työkalut on suunniteltu keräämään tiedostoja USB-asemilta, levittämään haittaohjelmia USB-asemien kautta, suodattamaan tietoja ja käyttämään tiettyjä konepalvelimia välipalvelimina hyötykuormien jakamiseen muille isännille:

• GoldenUsbCopy ja sen parannettu seuraaja GoldenUsbGo, jotka valvovat USB-asemia ja kopioivat tiedostoja suodattamista varten.
• GoldenAce, jota käytetään levittämään haittaohjelmia, mukaan lukien kevytversio JackalWormista, muihin järjestelmiin (ei välttämättä ilmarakoisiin) USB-asemien kautta.
• GoldenBlacklist ja sen Python-variantti GoldenPyBlacklist, joka käsittelee kiinnostavia sähköpostiviestejä tulevaa suodatusta varten.
• GoldenMailer, joka lähettää kerätyt tiedot hyökkääjille sähköpostitse.
• GoldenDrive, joka lataa korjatut tiedot Google Driveen.

Tällä hetkellä on edelleen epäselvää, kuinka GoldenJackal alun perin vaarantaa kohdeympäristöt. Tutkijat ovat kuitenkin aiemmin ehdottaneet, että troijalaiset Skype-asentimet ja vioittuneet Microsoft Word -asiakirjat voivat toimia mahdollisina sisääntulopisteinä.

Miten GoldenJackal-hyökkäykset etenevät?

GoldenDealer, joka on asennettu Internetiin yhdistettyyn tietokoneeseen tunnistamattomalla menetelmällä, aktivoituu, kun USB-asema asetetaan. Tämä toiminto johtaa itsensä ja tuntemattoman matokomponentin kopioimiseen irrotettavaan laitteeseen. Tämän tuntemattoman komponentin uskotaan käynnistyvän, kun tartunnan saanut USB-asema liitetään ilmarakoiseen järjestelmään, minkä jälkeen GoldenDealer kerää tietoja koneesta ja tallentaa ne USB-asemalle.

Kun USB-laite asetetaan takaisin Internetiin yhdistettyyn tietokoneeseen, GoldenDealer siirtää asemalle tallennetut tiedot ulkoiselle palvelimelle, joka lähettää sitten takaisin sopivat hyötykuormat suoritettavaksi ilmarakoisessa järjestelmässä. Haittaohjelma on myös vastuussa ladattujen suoritettavien tiedostojen kopioimisesta USB-asemalle. Viimeisessä vaiheessa, kun laite liitetään uudelleen ilmarakoiseen koneeseen, GoldenDealer suorittaa kopioidut suoritettavat tiedostot.

Lisäksi GoldenRobo toimii Internetiin yhdistetyssä tietokoneessa, joka on suunniteltu hakemaan tiedostoja USB-asemalta ja lähettämään ne hyökkääjän ohjaamalle palvelimelle. Tämä Gossa kehitetty haittaohjelma on saanut nimensä laillisesta Windows-apuohjelmasta nimeltä robocopy, jota se käyttää tiedostojen siirtoon.

Toistaiseksi tutkijat eivät ole tunnistaneet erillistä moduulia, joka olisi vastuussa tiedostojen siirtämisestä ilmarakoisesta tietokoneesta itse USB-asemaan.

Kyky ottaa käyttöön kaksi erillistä työkalusarjaa ilmarakoisten verkkojen vaarantamiseen vain viiden vuoden sisällä osoittaa, että GoldenJackal on hienostunut uhkatoimija, joka ymmärtää kohteidensa käyttämät verkon segmentointistrategiat.