GoldenJackal: slaptas grėsmės aktorius, taikantis į vyriausybės tinklus

GoldenJackal yra gana neaiški, bet labai pajėgi kibernetinio šnipinėjimo grupė, kuri buvo susijusi su daugybe išpuolių prieš diplomatines ir vyriausybines organizacijas, ypač sutelkiant dėmesį į sistemas, kurios yra fiziškai izoliuotos nuo interneto. Šis sudėtingas grėsmių veikėjas veikia labai slaptai ir išradingai, naudodamas pritaikytus kenkėjiškų programų įrankių rinkinius, kad pakenktų jautriems tinklams ir pavogtų konfidencialius duomenis.

GoldenJackal įrankių evoliucija

Nuo tada, kai 2023 m. pirmą kartą pateko į saugumo tyrinėtojų dėmesį, GoldenJackal buvo siejamas su išpuoliais tokiuose regionuose kaip Viduriniai Rytai, Pietų Azija ir Europa. Tačiau jos veikla siekia mažiausiai 2019 m. Šią grupę išskiria tai, kad naudojama specializuota kenkėjiška programa, skirta pažeisti sistemas, kurios nėra prijungtos prie jokio tinklo, todėl į jas sunku įsiskverbti nuotoliniu būdu.

„GoldenJackal“ kenkėjiška programa skirta plisti per USB diskus. Kirminas, vadinamas JackalWorm , plinta tarp prijungtų įrenginių ir dažnai yra suporuotas su Trojos arkliu, žinomu kaip JackalControl, kuris leidžia užpuolikams valdyti pažeistas sistemas. Tikslas yra rinkti ir išfiltruoti duomenis iš didelės vertės objektų, pvz., vyriausybės kompiuterių, kuriuos kitu atveju sunku pasiekti.

Duomenų vagystė iš izoliuotų tinklų

Panašu, kad pagrindinis grupės tikslas yra duomenų vagystė iš garsių objektų. Tyrėjai mano, kad „GoldenJackal“ sukūrė kelias kenkėjiškų programų versijas, kad pavogtų informaciją iš oro tarpų turinčių kompiuterių. Ši taktika apima USB diskų užkrėtimą kenkėjiška programine įranga, kuri vėliau perkelia naudingąsias apkrovas tarp prie interneto prijungtų mašinų ir izoliuotų sistemų.

Kai kurie „GoldenJackal“ priskiriami pasirinktiniai kenkėjiškų programų įrankiai:

• „GoldenDealer“ : sukurtas taip, kad pažeistų prie interneto prijungtas sistemas ir per užkrėstus USB diskus perneštų kenksmingus krovinius į oro tarpus turinčius įrenginius.
• GoldenHowl : lankstus užpakalinės durys, leidžiančios užpuolikams pavogti failus, kurti užduotis ir užmegzti saugų ryšį su išoriniais serveriais.
• GoldenRobo : duomenų rinkimo įrankis, naudojamas pavogtai informacijai išfiltruoti.

Augantis arsenalas

Visai neseniai buvo pastebėta, kad „GoldenJackal“ naudoja visiškai naują kenkėjiškų programų rinkinį, pirmiausia parašytą „Go“ programavimo kalba, skirtą konkretiems tikslams Europoje. Šie įrankiai skirti atlikti daug tų pačių užduočių, kaip ir ankstesni analogai, pvz., kopijuoti failus iš USB atmintinių ir siųsti duomenis atgal užpuolikams, tačiau jie yra efektyvesni ir sudėtingesni.

Pažymėtina, kad grupės kenkėjiška programa sukurta taip, kad veiktų etapais. Kai užkrėstas USB diskas pasiekia sandarią sistemą, kenkėjiška programa tyliai renka informaciją ir išsaugo ją USB atmintinėje. Kai tas pats diskas yra prijungtas prie įrenginio, kuriame veikia internetas, duomenys automatiškai perduodami į užpuoliko valdomą serverį.

Kaip apsisaugoti nuo GoldenJackal atakų

Norint apsisaugoti nuo pažangių grėsmių veikėjų, tokių kaip GoldenJackal, reikalingas daugiasluoksnis požiūris, ypač organizacijoms, kurios valdo jautrią informaciją apie oro tarpus. Kai kurios geriausios praktikos pavyzdžių:

• USB įrenginio naudojimo apribojimas : jautrioje aplinkoje turėtų būti naudojami tik įgalioti USB įrenginiai ir jie turi būti reguliariai nuskaitomi, ar nėra pažeistų ženklų.
• Tinklo segmentavimas : organizacijos turėtų užtikrinti griežtą internetinių sistemų ir tų, kurios tvarko neskelbtinus duomenis, atskyrimą, todėl kenkėjiškoms programoms būtų sunkiau įveikti atotrūkį.
• Reguliarus stebėjimas : įprastinis USB srauto ir sistemos žurnalų patikrinimas gali padėti aptikti įtartiną veiklą prieš jai padaugėjus.

GoldenJackal išlieka slaptas ir pavojingas priešas, nuolat tobulinantis savo taktiką. Suprasdamos, kaip grupė veikia, ir imdamosi aktyvių veiksmų, kad apsaugotų izoliuotus tinklus, organizacijos gali sumažinti tokių atakų riziką.