Výskumníci spoločnosti ESET odhalili sériu útokov, ktoré sa odohrali v Európe od mája 2022 do marca 2024, pričom útočníci použili sadu nástrojov schopnú zacieliť na systémy izolované od internetu vo vládnej organizácii krajiny Európskej únie.
- APT skupina GoldenJackal používala vlastnú sadu nástrojov na útoky na izolované (air-gapped) systémy na veľvyslanectve krajiny z južnej Ázie v Bielorusku minimálne od augusta 2019.
- Pri ďalšom útoku GoldenJackal nasadila vysoko modulárnu sadu nástrojov v Európe pri rôznych príležitostiach od mája 2022 do marca 2024 proti vládnej organizácii v krajine Európskej únie.
- Tieto sady nástrojov poskytujú GoldenJackal široký súbor možností na kompromitáciu a pretrvávanie v cieľových sieťach. Skompromitované systémy majú v lokálnej sieti rôzne úlohy, od zhromažďovania zaujímavých – pravdepodobne dôverných – informácií, cez ich spracovanie, distribúciu súborov, konfigurácií a príkazov do iných systémov až po exfiltráciu súborov.
- Konečným cieľom GoldenJackal je s veľkou pravdepodobnosťou krádež dôverných informácií, najmä z kritických počítačov, ktoré sú zámerne izolované od internetu.
ESET pripisuje kampaň APT skupine GoldenJackal, ktorá sa zameriava na vládne a diplomatické subjekty. Analýzou súboru nástrojov nasadených touto skupinou ESET identifikoval aj útok, ktorý GoldenJackal uskutočnila už skôr, v roku 2019, na veľvyslanectvo juhoázijskej krajiny v Bielorusku, a ktorý bol cielený na izolované systémy veľvyslanectva pomocou vlastných nástrojov. Konečným cieľom GoldenJackal je s veľkou pravdepodobnosťou krádež dôverných a vysoko citlivých informácií, najmä z kritických zariadení, ktoré nemusia byť pripojené na internet. Spoločnosť ESET prezentovala svoje zistenia na konferencii Virus Bulletin 2024.
Aby sa minimalizovalo riziko kompromitácie, veľmi citlivé siete sa často izolujú od ostatných sietí. Organizácie zvyčajne oddeľujú svoje najcennejšie systémy, ako sú napríklad hlasovacie systémy a priemyselné riadiace systémy, ktoré prevádzkujú energetické siete. Práve tieto siete sú často predmetom záujmu útočníkov. Kompromitácia izolovanej (air-gapped) siete je oveľa náročnejšia na zdroje ako narušenie systému pripojeného na internet, čo znamená, že spôsoby určené na útoky na izolované siete boli doteraz vyvíjané výlučne APT skupinami (Advanced Persistent Threat – pokročilá pretrvávajúca hrozba). Cieľom takýchto útokov je vždy špionáž.
„V máji 2022 sme objavili súbor nástrojov, ktorý sme nevedeli priradiť k žiadnej APT skupine. Keď však útočníci použili nástroj podobný jednému z tých, ktoré už boli verejne zdokumentované, dokázali sme pátrať hlbšie a nájsť spojenie medzi verejne zdokumentovanou sadou nástrojov GoldenJackal a touto novou sadou. Vychádzajúc z toho sa nám podarilo identifikovať skorší útok, pri ktorom bola nasadená verejne zdokumentovaná sada nástrojov, ako aj staršiu sadu nástrojov, ktorá má tiež schopnosti cieliť na izolované systémy,“ hovorí výskumník spoločnosti ESET Matías Porolli, ktorý analyzoval sadu nástrojov GoldenJackal.
GoldenJackal sa zameriava na vládne subjekty v Európe, na Blízkom východe a v južnej Ázii. ESET zachytil nástroje GoldenJackal na ambasáde juhoázijskej krajiny v Bielorusku v auguste a septembri 2019 a opäť v júli 2021. Nedávno bola podľa telemetrie spoločnosti ESET opakovane od mája 2022 do marca 2024 napadnutá ďalšia vládna organizácia v Európe.
Vzhľadom na požadovanú úroveň sofistikovanosti je pomerne nezvyčajné, že sa skupine GoldenJackal podarilo za päť rokov nasadiť nie jednu, ale dve samostatné sady nástrojov určené na kompromitáciu izolovaných systémov. To svedčí o vynaliezavosti tejto skupiny. Pri útokoch na veľvyslanectvo juhoázijskej krajiny v Bielorusku boli použité vlastné nástroje, ktoré sme doteraz videli len v tomto konkrétnom prípade. Kampaň využívala tri hlavné komponenty: GoldenDealer na doručovanie spustiteľných súborov do izolovaného systému prostredníctvom monitorovania USB; GoldenHowl, modulárny backdoor s rôznymi funkciami; a GoldenRobo, zberač súborov a exfiltrátor.
„Keď obeť vloží kompromitovaný USB disk do izolovaného systému a klikne na zložku, ktorá má ikonu priečinka, ale v skutočnosti je to škodlivý spustiteľný súbor, nainštaluje a spustí sa GoldenDealer, ktorý začne zhromažďovať informácie o izolovanom systéme a ukladá ich na USB disk. Keď sa disk opäť vloží do počítača pripojeného k internetu, GoldenDealer zoberie informácie o počítači pripojenom k internetu z disku USB a odošle ich na riadiaci C&C server. Server odpovie jedným alebo viacerými spustiteľnými súbormi, ktoré sa majú spustiť na PC pripojenom k sieti. Nakoniec, keď sa disk opäť vloží do izolovaného PC, GoldenDealer zoberie spustiteľné súbory z disku a spustí ich. Nie je potrebná žiadna interakcia používateľa, pretože GoldenDealer je už spustený,“ vysvetľuje Porolli.
V poslednej sérii útokov na vládnu organizáciu v Európskej únii GoldenJackal prešiel od pôvodnej sady nástrojov k novej, vysoko modulárnej. Tento modulárny prístup sa vzťahoval nielen na škodlivé nástroje, ale aj na úlohy napadnutých komponentov v rámci systému: okrem iného sa používali na zhromažďovanie a spracovanie zaujímavých, pravdepodobne dôverných informácií, na distribúciu súborov, konfigurácií a príkazov do iných systémov a na exfiltráciu súborov.
Viac technických informácií v anglickom jazyku nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.
