Istraživači ESET-a otkrili su niz napada koji su se dogodili u Evropi od maja 2022. do marta 2024. godine, gdje su napadači koristili skup alata koji je sposoban za ciljanje sistema sa vazdušnim razmakom, u vladinoj organizaciji jedne zemlje Evropske unije.
Kampanja cyber špijunaže ima za cilj krađu osjetljivih podataka iz izoliranih mreža
ESET kampanju pripisuje GoldenJackal-u, cyber-špijunažnoj APT grupi koja cilja na vladine i diplomatske subjekte. Analizom skupa alata koji je rasporedila grupa, ESET je identifikovao napad koji je GoldenJackal izveo ranije, 2019. godine, na ambasadu Južne Azije u Bjelorusiji, a koji je ciljao na sisteme ambasade sa zračnim razmakom sa prilagođenim alatima.
Konačni cilj GoldenJackala je vrlo vjerovatno krađa povjerljivih i vrlo osjetljivih informacija, posebno sa visokoprofilnih mašina koje možda nisu povezane na internet.
Da bi se rizik od kompromisa sveo na najmanju moguću mjeru, visoko osjetljive mreže su često zatvorene – izolovane od ostalih mreža. Organizacije će obično izbaciti iz vazduha svoje najvrednije sisteme, kao što su sistemi za glasanje i industrijski kontrolni sistemi koji pokreću električne mreže. Često su upravo one mreže koje su od interesa za napadače. Kompromitovanje mreže sa vazdušnim razmakom zahteva mnogo više resursa od proboja sistema povezanog na internet, što znači da su okvire dizajnirane za napad na mreže sa vazdušnim razmakom do sada isključivo razvijale APT grupe. Svrha ovakvih napada uvijek je špijunaža.
„U maju 2022. otkrili smo skup alata koji ne možemo pripisati nijednoj APT grupi. Ali kada su napadači koristili alat sličan jednom od onih koji su već javno dokumentovani, mogli smo da kopamo dublje i pronađemo vezu između javno dokumentovanog skupa alata GoldenJackal i ovog novog. Ekstrapolirajući iz toga, uspjeli smo identificirati raniji napad u kojem je bio raspoređen javno dokumentovani skup alata, kao i stariji skup alata koji takođe ima mogućnosti da cilja sisteme sa vazdušnim razmakom,” kaže istraživač ESET-a Matías Porolli, koji je analizirao GoldenJackal-ov skup alata.
GoldenJackal cilja na vladine subjekte u Evropi, na Bliskom istoku, u Južnoj Aziji
GoldenJackal cilja na vladine subjekte u Evropi, na Bliskom istoku i u južnoj Aziji. ESET je otkrio alate GoldenJackal u južnoazijskoj ambasadi u Bjelorusiji u avgustu i septembru 2019. i ponovo u julu 2021. U skorije vrijeme, prema telemetriji ESET-a, još jedna vladina organizacija u Evropi je više puta bila na meti od maja 2022. do marta 2024. godine.
Uz potreban nivo sofisticiranosti, prilično je neobično da je za pet godina GoldenJackal uspio da uvede ne jedan, već dva zasebna skupa alata dizajniranih da ugroze sisteme sa vazdušnim razmakom. Ovo govori o snalažljivosti grupe. U napadima na ambasadu južne Azije u Bjelorusiji korišteni su prilagođeni alati koje smo do sada viđali samo u tom konkretnom slučaju. Kampanja je koristila tri glavne komponente: GoldenDealer za isporuku izvršnih fajlova u sistem sa vazdušnim razmakom putem USB nadzora; GoldenHowl, modularna stražnja vrata s raznim funkcijama; i GoldenRobo, sakupljač i eksfiltrator datoteka.
„Kada žrtva ubaci kompromitovani USB disk u sistem sa vazdušnim zazorom i klikne na komponentu koja ima ikonu fascikle, ali je zapravo zlonamjerna izvršna datoteka, tada se GoldenDealer instalira i pokreće, počevši da prikuplja informacije o vazdušnim prazninama. sistem i pohraniti ga na USB disk. Kada se disk ponovo umetne u računar povezan na internet, GoldenDealer preuzima informacije o PC-u sa vazdušnim razmakom sa USB drajva i šalje ih na C&C server. Server odgovara sa jednom ili više izvršnih datoteka koje treba pokrenuti na PC-u sa zračnim razmakom. Konačno, kada je disk ponovo umetnut u računar sa vazdušnim zazorom, GoldenDealer uzima izvršne datoteke sa diska i pokreće ih. Nije potrebna nikakva interakcija korisnika jer GoldenDealer već radi”, objašnjava Porolli.
U svojoj najnovijoj seriji napada na vladinu organizaciju u Evropskoj uniji, GoldenJackal je prešao sa originalnog skupa alata na novi, visoko modularan. Ovaj modularni pristup nije se primjenjivao samo na zlonamjerne alate, već i na uloge viktimiziranih hostova unutar kompromitovanog sistema: korišteni su, između ostalog, za prikupljanje i obradu zanimljivih, vjerovatno povjerljivih informacija, za distribuciju datoteka, konfiguracija i naredbi. na druge sisteme i eksfiltrirati fajlove.
Izvor:Help Net Security
