שחקן איום GoldenJackal

שחקן איומים פחות מוכר המכונה GoldenJackal נקשר לסדרה של התקפות סייבר שמכוונות לשגרירויות וגופים ממשלתיים, מתוך כוונה לפרוץ מערכות מרווחות אוויר באמצעות שני ערכות כלים מותאמות אישית נפרדות.

היעדים כללו שגרירות דרום אסיה הממוקמת בבלארוס וארגון ממשלתי בתוך האיחוד האירופי (EU). נראה שהמטרה העיקרית של GoldenJackal היא גניבת מידע רגיש, במיוחד ממערכות בעלות פרופיל גבוה שעלולות להישאר מנותקות מהאינטרנט.

GoldenJackal פעיל כבר שנים

GoldenJackal זוהה לראשונה במאי 2023, כאשר חוקרים דיווחו על התקפות מקבץ האיומים המכוונות לגופים דיפלומטיים וממשלתיים במזרח התיכון ובדרום אסיה. ניתן לאתר את פעילות הקבוצה לפחות לשנת 2019. היבט בולט של חדירות אלה הוא פריסת תולעת הידועה בשם JackalWorm, שיכולה להדביק כונני USB מחוברים ולהעביר סוס טרויאני המכונה JackalControl.

אמנם אין מספיק ראיות כדי לקשר באופן סופי את הפעילויות הללו עם איום מסוים של מדינת לאום, אבל יש קווי דמיון טקטיים עם כלים זדוניים המשמשים בקמפיינים המיוחסים ל-Turla ול-MostachedBouncer, שהאחרון שבהם התמקד גם בשגרירויות זרות בבלארוס.

איומים מרובים של תוכנות זדוניות שנפרסו על ידי GoldenJackal

מומחי אבטחת מידע זיהו חפצים הקשורים ל-GoldenJackal בשגרירות דרום אסיה בבלארוס במהלך אוגוסט וספטמבר 2019, עם גילויים נוספים ביולי 2021. יש לציין כי שחקן האיום פרס בהצלחה ערכת כלים מעודכנת לחלוטין נגד ישות ממשלתית של האיחוד האירופי בין מאי 2022 למרץ 2024.

התחכום שהודגם בפיתוח ופריסה של שני ערכות כלים נפרדות שתוכננו במיוחד לפגיעה במערכות מרווחות אוויר לאורך חמש שנים מדגיש את התושייה של הקבוצה.

לפי הדיווח, המתקפה על שגרירות דרום אסיה בבלארוס השתמשה בשלוש משפחות תוכנות זדוניות שונות לצד JackalControl, JackalSteal ו- JackalWorm:

• GoldenDealer, המאפשר אספקת קובצי הפעלה למערכות מרווחות אוויר באמצעות כונני USB שנפגעו.
• GoldenHowl, דלת אחורית מודולרית המסוגלת לגניבת קבצים, ליצור משימות מתוזמנות, להעלות ולהוריד קבצים לשרת מרוחק וממנו והקמת מנהרת SSH.
• GoldenRobo, כלי המיועד לאיסוף קבצים וחילוץ נתונים.

הסט החדש של הכלים המאיימים בשימוש בהתקפות

לעומת זאת, ההתקפות נגד הארגון הממשלתי האלמוני באירופה השתמשו בחבילה חדשה לגמרי של כלים תוכנות זדוניות שנכתבו בעיקר ב-Go. כלים אלה נועדו לאסוף קבצים מכונני USB, להפיץ תוכנות זדוניות באמצעות כונני USB, לסנן נתונים ולהשתמש בשרתי מכונות מסוימים כשרתי היערכות כדי להפיץ עומסים למארחים אחרים:

• GoldenUsbCopy ויורשו המשופר, GoldenUsbGo, המנטרים כונני USB ומעתיקים קבצים לצורך אקספילציה.
• GoldenAce, המשמשת להפצת תוכנות זדוניות, כולל גרסה קלת משקל של JackalWorm, למערכות אחרות (לא בהכרח מרווחות באוויר) דרך כונני USB.
• GoldenBlacklist וגרסאת ה-Python שלה, GoldenPyBlacklist, המעבדת הודעות דוא"ל בעלות עניין להסרה עתידית.
• GoldenMailer, ששולחת את הנתונים שנאספו לתוקפים באמצעות דואר אלקטרוני.
• GoldenDrive, אשר מעלה מידע שנאסף ל-Google Drive.

נכון לעכשיו, עדיין לא ברור כיצד GoldenJackal מתפשר בהתחלה על סביבות יעד. עם זאת, חוקרים הציעו בעבר שמתקיני סקייפ טרויאניים ומסמכי Microsoft Word פגומים עשויים לשמש כנקודות כניסה אפשריות.

כיצד מתקפות התקפות GoldenJackal?

GoldenDealer, לאחר התקנה על מחשב המחובר לאינטרנט בשיטה לא מזוהה, מופעל כאשר כונן USB מוכנס. פעולה זו גורמת להעתקה של עצמה ושל רכיב תולעת לא ידוע למכשיר הנשלף. מאמינים כי רכיב לא ידוע זה מופעל כאשר כונן ה-USB הנגוע מחובר למערכת מרווחת אוויר, ולאחר מכן GoldenDealer אוסף מידע על המכונה ושומר אותו בכונן ה-USB.

כאשר התקן ה-USB מוכנס מחדש למחשב המחובר לאינטרנט, GoldenDealer מעביר את המידע המאוחסן בכונן לשרת חיצוני, אשר לאחר מכן שולח בחזרה מטענים מתאימים לביצוע במערכת מרווחת האוויר. התוכנה הזדונית אחראית גם להעתקת קובצי ההפעלה שהורדת לכונן ה-USB. בשלב הסופי, כאשר המכשיר מחובר שוב למכונה המרווחת, GoldenDealer מבצע את קובצי ההפעלה שהועתקו.

בנוסף, GoldenRobo פועל על המחשב המחובר לאינטרנט, שנועד לאחזר קבצים מכונן ה-USB ולשלוח אותם לשרת הנשלט על ידי התוקף. תוכנה זדונית זו, שפותחה ב-Go, שואבת את שמה משירות לגיטימי של Windows בשם robocopy, שבו היא משתמשת לביצוע העברת הקבצים.

עד כה, החוקרים לא זיהו מודול נפרד שאחראי על העברת קבצים מהמחשב המרווח לכונן ה-USB עצמו.

היכולת לפרוס שני ערכות כלים נפרדות לפגיעה ברשתות מרווחות אוויר בתוך חמש שנים בלבד מוכיחה ש-GoldenJackal הוא שחקן איומים מתוחכם שמבין את אסטרטגיות הפילוח של הרשת המופעלות על ידי יעדיו.