GoldenJackal: un attore di minacce furtivo che prende di mira le reti governative
GoldenJackal è un gruppo di cyber-spionaggio relativamente oscuro ma altamente capace che è stato collegato a molteplici attacchi a organizzazioni diplomatiche e governative, concentrandosi in particolare su sistemi fisicamente isolati da Internet. Questo sofisticato attore di minacce opera con un alto grado di furtività e ingegnosità, utilizzando set di strumenti malware personalizzati per compromettere reti sensibili e rubare dati riservati.
Table of Contents
L'evoluzione degli strumenti di GoldenJackal
Da quando è arrivato per la prima volta all'attenzione dei ricercatori di sicurezza nel 2023, GoldenJackal è stato collegato ad attacchi in regioni come il Medio Oriente, l'Asia meridionale e l'Europa. Tuttavia, le sue operazioni risalgono almeno al 2019. Ciò che distingue questo gruppo è l'uso di malware specializzati per violare i sistemi air-gapped, ovvero quelli che non sono connessi a nessuna rete, rendendoli difficili da infiltrare da remoto.
Il malware di GoldenJackal è progettato per diffondersi tramite unità USB. Un worm, denominato JackalWorm , si diffonde tra dispositivi connessi ed è spesso associato a un trojan noto come JackalControl, che fornisce agli aggressori il controllo sui sistemi compromessi. L'obiettivo è raccogliere ed esfiltrare dati da obiettivi di alto valore, come computer governativi, che altrimenti sarebbero difficili da raggiungere.
Furto di dati da reti isolate
L'obiettivo principale del gruppo sembra essere il furto di dati da obiettivi di alto profilo. I ricercatori ritengono che GoldenJackal abbia sviluppato più versioni di malware per rubare informazioni da computer air-gapped. Questa tattica prevede l'infezione di unità USB con malware, che poi trasferisce i payload tra macchine connesse a Internet e sistemi isolati.
Alcuni degli strumenti malware personalizzati attribuiti a GoldenJackal includono:
- GoldenDealer : progettato per compromettere i sistemi connessi a Internet e trasferire carichi dannosi su macchine air gapped tramite unità USB infette.
- GoldenHowl : una backdoor flessibile che consente agli aggressori di rubare file, creare attività e stabilire comunicazioni sicure con server esterni.
- GoldenRobo : uno strumento di raccolta dati utilizzato per esfiltrare informazioni rubate.
Un arsenale in crescita
Più di recente, GoldenJackal è stato osservato mentre impiegava un set completamente nuovo di malware, scritto principalmente nel linguaggio di programmazione Go, mirato a obiettivi specifici in Europa. Questi strumenti sono progettati per eseguire molte delle stesse attività delle loro controparti precedenti, come la copia di file da unità USB e l'invio di dati agli aggressori, ma con maggiore efficienza e sofisticatezza.
In particolare, il malware del gruppo è progettato per funzionare in più fasi. Una volta che un'unità USB infetta raggiunge un sistema air-gapped, il malware raccoglie silenziosamente le informazioni e le memorizza sull'USB. Quando la stessa unità è connessa a un dispositivo abilitato a Internet, i dati vengono automaticamente trasmessi a un server controllato dall'aggressore.
Come proteggersi dagli attacchi del GoldenJackal
La difesa contro gli attori di minacce avanzate come GoldenJackal richiede un approccio a più livelli, in particolare per le organizzazioni che gestiscono informazioni sensibili su sistemi air-gapped. Alcune best practice includono:
- Limitazione dell'uso dei dispositivi USB : in ambienti sensibili, utilizzare solo dispositivi USB autorizzati e sottoporli a regolari controlli per rilevare eventuali segni di compromissione.
- Segmentazione della rete : le organizzazioni devono garantire una rigorosa separazione tra i sistemi connessi a Internet e quelli che gestiscono dati sensibili, rendendo più difficile per il malware colmare il divario.
- Monitoraggio regolare : ispezioni di routine del traffico USB e dei registri di sistema possono aiutare a rilevare attività sospette prima che degenerino.
GoldenJackal rimane un avversario furtivo e pericoloso, che affina continuamente le sue tattiche. Comprendendo come opera il gruppo e adottando misure proattive per proteggere le reti isolate, le organizzazioni possono ridurre il rischio di tali attacchi.
