GoldenJackal draudu aktieris
Mazāk pazīstams draudu aktieris, kas pazīstams kā GoldenJackal, ir saistīts ar virkni kiberuzbrukumu, kas vērsti pret vēstniecībām un valdības struktūrām ar nolūku uzlauzt gaisa spraugas sistēmas, izmantojot divus dažādus pielāgotus rīkus.
Mērķi ir bijuši Dienvidāzijas vēstniecība Baltkrievijā un valdības organizācija Eiropas Savienībā (ES). Šķiet, ka GoldenJackal galvenais mērķis ir sensitīvas informācijas zādzība, jo īpaši no augsta līmeņa sistēmām, kuras var palikt atvienotas no interneta.
Satura rādītājs
GoldenJackal ir bijis aktīvs gadiem ilgi
GoldenJackal pirmo reizi tika identificēts 2023. gada maijā, kad pētnieki ziņoja par draudu kopas uzbrukumiem, kuru mērķis ir diplomātiskās un valdības struktūras Tuvajos Austrumos un Dienvidāzijā. Grupas darbību var izsekot vismaz līdz 2019. gadam. Ievērojams šo ielaušanās aspekts ir tārpa, kas pazīstams kā JackalWorm, izvietošana, kas var inficēt pievienotos USB diskus un piegādāt Trojas zirgu, ko dēvē par JackalControl.
Lai gan nav pietiekami daudz pierādījumu, lai šīs darbības galīgi saistītu ar konkrētu nacionālas valsts apdraudējumu, dažas taktiskas līdzības pastāv ar ļaunprātīgiem rīkiem, kas izmantoti kampaņās, kas attiecinātas uz Turla un MoustachedBouncer, no kurām pēdējā ir vērsta arī uz ārvalstu vēstniecībām Baltkrievijā.
GoldenJackal izvietojuši vairākus ļaunprātīgas programmatūras draudus
Informācijas drošības eksperti Dienvidāzijas vēstniecībā Baltkrievijā 2019. gada augustā un septembrī atklāja artefaktus, kas saistīti ar GoldenJackal, bet turpmāki atklājumi tika atklāti 2021. gada jūlijā. Konkrēti, apdraudējums no 2022. gada maija līdz martam veiksmīgi izvietoja pilnībā atjauninātu rīku komplektu pret Eiropas Savienības valdības struktūru. 2024. gads.
Izsmalcinātība, kas tika demonstrēta divu atšķirīgu rīku komplektu izstrādē un ieviešanā, kas īpaši izstrādāti gaisa spraugu sistēmu kompromitēšanai piecu gadu laikā, izceļ grupas atjautību.
Tiek ziņots, ka uzbrukumā Dienvidāzijas vēstniecībai Baltkrievijā kopā ar JackalControl, JackalSteal un JackalWorm tika izmantotas trīs dažādas ļaunprātīgas programmatūras ģimenes:
- GoldenDealer, kas atvieglo izpildāmo failu piegādi gaisa spraugām sistēmām, izmantojot apdraudētus USB diskus.
- GoldenHowl, modulāras aizmugures durvis, kas spēj nozagt failus, izveidot ieplānotus uzdevumus, augšupielādēt un lejupielādēt failus uz attālo serveri un no tā, kā arī izveidot SSH tuneli.
- GoldenRobo, rīks, kas paredzēts failu apkopošanai un datu eksfiltrācijai.
Jauns draudu rīku komplekts, ko izmanto uzbrukumos
Turpretim uzbrukumos, kas vērsti pret nenosauktu valdības organizāciju Eiropā, ir izmantots pilnīgi jauns ļaunprātīgas programmatūras rīku komplekts, kas galvenokārt rakstīts Go. Šie rīki ir paredzēti, lai savāktu failus no USB diskiem, izplatītu ļaunprātīgu programmatūru, izmantojot USB diskus, izfiltrētu datus un izmantotu noteiktus mašīnu serverus kā iestatīšanas serverus, lai izplatītu lietderīgās slodzes citiem resursdatoriem.
- GoldenUsbCopy un tā uzlabotais pēctecis GoldenUsbGo, kas pārrauga USB diskus un kopē failus, lai tos izfiltrētu.
- GoldenAce, ko izmanto ļaunprātīgas programmatūras, tostarp JackalWorm vieglās versijas, izplatīšanai citās sistēmās (nav obligāti gaisa spraugas), izmantojot USB diskus.
- GoldenBlacklist un tā Python variants GoldenPyBlacklist, kas apstrādā interesējošos e-pasta ziņojumus turpmākai izfiltrēšanai.
- GoldenMailer, kas nosūta savāktos datus uzbrucējiem pa e-pastu.
- GoldenDrive, kas augšupielādē novākto informāciju Google diskā.
Pašlaik joprojām nav skaidrs, kā GoldenJackal sākotnēji apdraud mērķa vidi. Tomēr pētnieki jau iepriekš ir izteikuši pieņēmumu, ka Trojanizētie Skype instalētāji un bojāti Microsoft Word dokumenti var kalpot kā potenciālie ieejas punkti.
Kā norit GoldenJackal uzbrukumi?
GoldenDealer, kas instalēts datorā, kas savienots ar internetu, izmantojot neidentificētu metodi, tiek aktivizēts, kad tiek ievietots USB disks. Šīs darbības rezultātā noņemamajā ierīcē tiek kopēts pats un nezināms tārpa komponents. Tiek uzskatīts, ka šis nezināmais komponents tiek izpildīts, kad inficētais USB disks ir pievienots sistēmai ar gaisa spraugu, pēc tam GoldenDealer apkopo informāciju par iekārtu un saglabā to USB diskdzinī.
Kad USB ierīce tiek atkārtoti ievietota internetam pieslēgtā datorā, GoldenDealer pārsūta diskā saglabāto informāciju uz ārēju serveri, kas pēc tam nosūta atpakaļ piemērotas slodzes, kas jāizpilda gaisa spraugas sistēmā. Ļaunprātīga programmatūra ir atbildīga arī par lejupielādēto izpildāmo failu kopēšanu USB diskdzinī. Pēdējā posmā, kad ierīce atkal tiek pievienota gaisa spraugas iekārtai, GoldenDealer izpilda kopētos izpildāmos failus.
Turklāt GoldenRobo darbojas ar internetu savienotā datorā, kas paredzēts, lai izgūtu failus no USB diska un nosūtītu uz uzbrucēja kontrolēto serveri. Šī ļaunprātīgā programmatūra, kas izstrādāta Go, tās nosaukums ir cēlies no likumīgas Windows utilītas, ko sauc par robocopy, ko tā izmanto failu pārsūtīšanai.
Pagaidām pētnieki nav identificējuši atsevišķu moduli, kas būtu atbildīgs par failu pārsūtīšanu no gaisa spraugas datora uz pašu USB disku.
Spēja izvietot divus atšķirīgus rīku komplektus, lai apdraudētu tīklus ar gaisa spraugām tikai piecu gadu laikā, pierāda, ka GoldenJackal ir sarežģīts apdraudējums, kas saprot tīkla segmentācijas stratēģijas, ko izmanto tā mērķi.
