Herec hrozieb GoldenJackal
Menej známy aktér hrozieb známy ako GoldenJackal bol spájaný so sériou kybernetických útokov zameraných na veľvyslanectvá a vládne orgány s úmyslom prelomiť systémy so vzduchovou medzerou prostredníctvom dvoch odlišných vlastných sád nástrojov.
Ciele zahŕňali juhoázijské veľvyslanectvo nachádzajúce sa v Bielorusku a vládnu organizáciu v rámci Európskej únie (EÚ). Zdá sa, že primárnym cieľom GoldenJackal je krádež citlivých informácií, najmä z vysokoprofilových systémov, ktoré môžu zostať odpojené od internetu.
Obsah
GoldenJackal je aktívny už roky
GoldenJackal bol prvýkrát identifikovaný v máji 2023, keď výskumníci oznámili útoky klastra hrozieb, ktoré sa zameriavajú na diplomatické a vládne subjekty na Blízkom východe a v južnej Ázii. Operácie skupiny možno vysledovať minimálne do roku 2019. Pozoruhodným aspektom týchto prienikov je nasadenie červa známeho ako JackalWorm, ktorý dokáže infikovať pripojené USB disky a dodať trójsky kôň označovaný ako JackalControl.
Zatiaľ čo nie je dostatok dôkazov na definitívne spojenie týchto aktivít s konkrétnou hrozbou národného štátu, existujú určité taktické podobnosti so škodlivými nástrojmi využívanými v kampaniach pripisovaných Turlovi a MoustachedBouncerovi, z ktorých druhý sa zameral aj na zahraničné veľvyslanectvá v Bielorusku.
GoldenJackal nasadil viacero malvérových hrozieb
Odborníci na informačnú bezpečnosť identifikovali artefakty spojené s GoldenJackal na juhoázijskom veľvyslanectve v Bielorusku počas augusta a septembra 2019, pričom ďalšie objavy boli objavené v júli 2021. Najmä aktér hrozby úspešne nasadil úplne aktualizovanú sadu nástrojov proti vládnemu subjektu Európskej únie v období od mája 2022 do marca 2024.
Sofistikovanosť preukázaná pri vývoji a nasadzovaní dvoch odlišných sád nástrojov špeciálne navrhnutých na kompromitovanie systémov so vzduchovou medzerou počas piatich rokov zdôrazňuje vynaliezavosť skupiny.
Útok na juhoázijské veľvyslanectvo v Bielorusku údajne využil tri rôzne rodiny malvéru spolu s JackalControl, JackalSteal a JackalWorm:
- GoldenDealer, ktorý uľahčuje dodávanie spustiteľných súborov do systémov so vzduchovou medzerou prostredníctvom kompromitovaných jednotiek USB.
- GoldenHowl, modulárne zadné vrátka schopné krádeže súborov, vytváranie naplánovaných úloh, nahrávanie a sťahovanie súborov na a zo vzdialeného servera a vytvorenie tunela SSH.
- GoldenRobo, nástroj určený na zber súborov a exfiltráciu dát.
Nová sada hroziacich nástrojov používaných pri útokoch
Naproti tomu útoky zamerané na nemenovanú vládnu organizáciu v Európe použili úplne nový balík malvérových nástrojov primárne napísaných v Go. Tieto nástroje sú navrhnuté tak, aby zhromažďovali súbory z jednotiek USB, šírili malvér prostredníctvom jednotiek USB, extrahovali údaje a využívali určité servery strojov ako prípravné servery na distribúciu dát iným hostiteľom:
- GoldenUsbCopy a jeho vylepšený nástupca GoldenUsbGo, ktoré monitorujú USB disky a kopírujú súbory na exfiltráciu.
- GoldenAce, ktorý sa používa na šírenie malvéru, vrátane odľahčenej verzie JackalWorm, do iných systémov (nie nevyhnutne so vzduchovou medzerou) prostredníctvom USB diskov.
- GoldenBlacklist a jeho variant Pythonu, GoldenPyBlacklist, ktorý spracováva e-mailové správy, ktoré vás zaujímajú, pre budúcu exfiltráciu.
- GoldenMailer, ktorý posiela zozbierané údaje útočníkom prostredníctvom e-mailu.
- GoldenDrive, ktorý nahráva zozbierané informácie na Disk Google.
V súčasnosti nie je jasné, ako GoldenJackal spočiatku kompromituje cieľové prostredia. Vedci však už skôr navrhli, že ako potenciálne vstupné body môžu slúžiť trojanizované inštalátory Skype a poškodené dokumenty Microsoft Word.
Ako pokračujú útoky GoldenJackal?
GoldenDealer sa po nainštalovaní do počítača pripojeného k internetu neidentifikovanou metódou aktivuje po vložení jednotky USB. Táto akcia má za následok skopírovanie seba a neznámeho komponentu červa na vymeniteľné zariadenie. Predpokladá sa, že tento neznámy komponent sa spustí, keď je infikovaný USB disk pripojený k systému so vzduchovou medzerou, potom GoldenDealer zhromažďuje informácie o stroji a ukladá ich na USB disk.
Po opätovnom vložení USB zariadenia do počítača pripojeného k internetu GoldenDealer prenesie informácie uložené na disku na externý server, ktorý potom odošle späť vhodné dáta, ktoré sa majú vykonať v systéme so vzduchovou medzerou. Malvér je tiež zodpovedný za kopírovanie stiahnutých spustiteľných súborov na jednotku USB. V záverečnej fáze, keď je zariadenie opäť pripojené k stroju so vzduchovou medzerou, GoldenDealer spustí skopírované spustiteľné súbory.
Okrem toho GoldenRobo beží na počítači pripojenom na internet, ktorý je určený na získavanie súborov z jednotky USB a ich odosielanie na server ovládaný útočníkom. Tento malvér, vyvinutý v Go, odvodzuje svoj názov od legitímnej pomôcky Windows s názvom robocopy, ktorú používa na prenos súborov.
Výskumníci zatiaľ neidentifikovali samostatný modul zodpovedný za prenos súborov z počítača so vzduchovou medzerou na samotný USB disk.
Schopnosť nasadiť dve odlišné sady nástrojov na kompromitovanie sietí so vzduchovou medzerou v priebehu iba piatich rokov dokazuje, že GoldenJackal je sofistikovaným aktérom hrozieb, ktorý rozumie stratégiám segmentácie siete, ktoré využívajú jeho ciele.
