„GoldenJackal“ grėsmės aktorius

Mažiau žinomas grėsmių veikėjas, žinomas kaip GoldenJackal, buvo siejamas su keletu kibernetinių atakų, nukreiptų prieš ambasadas ir vyriausybines institucijas, siekiant pažeisti oro tarpų sistemas naudojant du skirtingus pasirinktinius įrankių rinkinius.

Taikiniai buvo Pietų Azijos ambasada Baltarusijoje ir vyriausybinė organizacija Europos Sąjungoje (ES). Atrodo, kad pagrindinis GoldenJackal tikslas yra slaptos informacijos vagystė, ypač iš aukšto lygio sistemų, kurios gali likti atjungtos nuo interneto.

GoldenJackal buvo aktyvus daugelį metų

„GoldenJackal“ pirmą kartą buvo nustatytas 2023 m. gegužę, kai mokslininkai pranešė apie grėsmių grupės atakas, nukreiptas prieš diplomatinius ir vyriausybinius subjektus Artimuosiuose Rytuose ir Pietų Azijoje. Grupės veiklą galima atsekti mažiausiai iki 2019 m. Svarbus šių įsibrovimų aspektas yra kirmino, žinomo kaip JackalWorm, dislokavimas, galintis užkrėsti prijungtus USB diskus ir pristatyti Trojos arklį, vadinamą JackalControl.

Nors nėra pakankamai įrodymų, kad ši veikla būtų galutinai susieta su tam tikra nacionalinės valstybės grėsme, yra tam tikrų taktinių panašumų su kenkėjiškomis priemonėmis, naudojamomis kampanijose, priskiriamose Turla ir MoustachedBouncer, kurių pastaroji taip pat sutelkė dėmesį į užsienio ambasadas Baltarusijoje.

Kelios „GoldenJackal“ įdiegtos kenkėjiškos programos

Informacijos saugumo ekspertai Pietų Azijos ambasadoje Baltarusijoje 2019 m. rugpjūtį ir rugsėjį aptiko su GoldenJackal susijusius artefaktus, o 2021 m. liepos mėn. aptiko daugiau. Pažymėtina, kad grėsmės veikėjas sėkmingai panaudojo visiškai atnaujintą įrankių rinkinį prieš Europos Sąjungos vyriausybės subjektą nuo 2022 m. gegužės mėn. iki kovo mėn. 2024 m.

Per penkerius metus demonstruojamas rafinuotumas kuriant ir diegiant du skirtingus įrankių rinkinius, specialiai sukurtus oro tarpų sistemoms pažeisti, pabrėžia grupės išradingumą.

Pranešama, kad ataka prieš Pietų Azijos ambasadą Baltarusijoje panaudojo tris skirtingas kenkėjiškų programų šeimas kartu su JackalControl, JackalSteal ir JackalWorm:

• GoldenDealer, kuris palengvina vykdomųjų failų pristatymą į oro tarpą turinčias sistemas per pažeistus USB diskus.
• GoldenHowl, modulinės užpakalinės durys, galinčios pavogti failus, kurti suplanuotas užduotis, įkelti ir atsisiųsti failus į nuotolinį serverį ir iš jo bei sukurti SSH tunelį.
• GoldenRobo, failų rinkimo ir duomenų išfiltravimo įrankis.

Naujas grėsmės priemonių rinkinys, naudojamas atakose

Priešingai, atakose, nukreiptose į neįvardytą vyriausybinę organizaciją Europoje, buvo panaudotas visiškai naujas kenkėjiškų programų įrankių rinkinys, daugiausia parašytas Go. Šie įrankiai skirti rinkti failus iš USB diskų, platinti kenkėjiškas programas per USB diskus, išfiltruoti duomenis ir naudoti tam tikrus įrenginio serverius kaip sustojimo serverius, kad būtų galima paskirstyti naudingąsias apkrovas kitiems pagrindiniams kompiuteriams:

• „GoldenUsbCopy“ ir jos patobulintas įpėdinis „GoldenUsbGo“, kurios stebi USB diskus ir kopijuoja failus, kad būtų galima išfiltruoti.
• GoldenAce, kuris naudojamas platinti kenkėjiškas programas, įskaitant lengvą JackalWorm versiją, į kitas sistemas (nebūtinai su oro tarpais) per USB diskus.
• „GoldenBlacklist“ ir jo „Python“ variantas „GoldenPyBlacklist“, apdorojantis dominančius el. pašto pranešimus, kad juos būtų galima išfiltruoti ateityje.
• GoldenMailer, kuri surinktus duomenis siunčia užpuolikams el.
• GoldenDrive, kuris įkelia surinktą informaciją į „Google“ diską.

Šiuo metu lieka neaišku, kaip GoldenJackal iš pradžių pažeidžia tikslinę aplinką. Tačiau mokslininkai anksčiau teigė, kad Trojanizuotos „Skype“ diegimo programos ir sugadinti „Microsoft Word“ dokumentai gali būti potencialūs įėjimo taškai.

Kaip vyksta „GoldenJackal“ atakos?

„GoldenDealer“, įdiegtas prie interneto prijungtame kompiuteryje nenustatytu būdu, suaktyvinamas, kai įdedamas USB diskas. Šis veiksmas nukopijuoja save ir nežinomą kirmino komponentą į išimamą įrenginį. Manoma, kad šis nežinomas komponentas veikia, kai užkrėstas USB diskas yra prijungtas prie oro tarpų sistemos, o po to GoldenDealer surenka informaciją apie įrenginį ir išsaugo ją USB atmintinėje.

Kai USB įrenginys vėl įdedamas į prie interneto prijungtą kompiuterį, „GoldenDealer“ perkelia diske saugomą informaciją į išorinį serverį, kuris vėliau siunčia atgal tinkamus krovinius, kurie turi būti vykdomi oro tarpų sistemoje. Kenkėjiška programa taip pat atsakinga už atsisiųstų vykdomųjų failų kopijavimą į USB diską. Paskutiniame etape, kai įrenginys vėl prijungiamas prie oro tarpo mašinos, GoldenDealer vykdo nukopijuotus vykdomuosius failus.

Be to, „GoldenRobo“ veikia prie interneto prijungtame kompiuteryje, skirtame nuskaityti failus iš USB atmintinės ir siųsti juos į užpuoliko valdomą serverį. Šios kenkėjiškos programos, sukurtos Go, pavadinimas kilęs iš teisėtos Windows programos, vadinamos robocopy, kurią ji naudoja failams perduoti.

Kol kas mokslininkai nenustatė atskiro modulio, atsakingo už failų perkėlimą iš oro spragų kompiuterio į patį USB diską.

Galimybė įdiegti du skirtingus įrankių rinkinius, skirtus pažeisti oro tarpų tinklus vos per penkerius metus, rodo, kad „GoldenJackal“ yra sudėtingas grėsmės veikėjas, kuris supranta tinklo segmentavimo strategijas, kurias taiko taikiniai.