GoldenJackal: Ukryty aktor stanowiący zagrożenie, którego celem są sieci rządowe

GoldenJackal to stosunkowo mało znana, ale wysoce zdolna grupa cybernetycznego szpiegostwa, która była powiązana z wieloma atakami na organizacje dyplomatyczne i rządowe, szczególnie skupiając się na systemach, które są fizycznie odizolowane od Internetu. Ten wyrafinowany aktor zagrożeń działa z wysokim stopniem ukrycia i pomysłowości, używając dostosowanych zestawów narzędzi złośliwego oprogramowania do naruszania wrażliwych sieci i kradzieży poufnych danych.

Ewolucja narzędzi GoldenJackal

Od czasu, gdy po raz pierwszy zwrócono na niego uwagę badaczy bezpieczeństwa w 2023 r., GoldenJackal był powiązany z atakami w regionach takich jak Bliski Wschód, Azja Południowa i Europa. Jednak jego działalność sięga co najmniej 2019 r. Cechą wyróżniającą tę grupę jest wykorzystanie specjalistycznego złośliwego oprogramowania do naruszania odizolowanych od sieci systemów — takich, które nie są połączone z żadną siecią, co utrudnia ich zdalną infiltrację.

Oprogramowanie malware GoldenJackal jest zaprojektowane tak, aby rozprzestrzeniać się za pośrednictwem dysków USB. Robak, zwany JackalWorm , rozprzestrzenia się między podłączonymi urządzeniami i często jest sparowany z trojanem znanym jako JackalControl, który daje atakującym kontrolę nad naruszonymi systemami. Celem jest zbieranie i eksfiltracja danych z celów o dużej wartości, takich jak komputery rządowe, do których w inny sposób trudno uzyskać dostęp.

Kradzież danych z odizolowanych sieci

Głównym celem grupy wydaje się być kradzież danych od znanych celów. Badacze uważają, że GoldenJackal opracował wiele wersji złośliwego oprogramowania w celu kradzieży informacji z komputerów z izolacją powietrzną. Ta taktyka polega na infekowaniu dysków USB złośliwym oprogramowaniem, które następnie przesyła ładunki między maszynami podłączonymi do Internetu a odizolowanymi systemami.

Niektóre z niestandardowych narzędzi złośliwego oprogramowania przypisywanych GoldenJackal obejmują:

• GoldenDealer : Zaprojektowany, aby włamywać się do systemów podłączonych do Internetu i przesyłać złośliwe oprogramowanie do odizolowanych od Internetu komputerów za pośrednictwem zainfekowanych dysków USB.
• GoldenHowl : Elastyczne tylne wejście umożliwiające atakującym kradzież plików, tworzenie zadań i nawiązywanie bezpiecznej komunikacji z serwerami zewnętrznymi.
• GoldenRobo : Narzędzie do zbierania danych, służące do wydobywania skradzionych informacji.

Rozwijający się arsenał

Niedawno zaobserwowano, że GoldenJackal używa zupełnie nowego zestawu złośliwego oprogramowania, napisanego głównie w języku programowania Go, skierowanego na określone cele w Europie. Narzędzia te są zaprojektowane do wykonywania wielu takich samych zadań jak ich wcześniejsze odpowiedniki, takich jak kopiowanie plików z dysków USB i wysyłanie danych z powrotem do atakujących, ale ze zwiększoną wydajnością i wyrafinowaniem.

Co ciekawe, złośliwe oprogramowanie tej grupy jest zaprojektowane tak, aby działać etapami. Gdy zainfekowany dysk USB dotrze do systemu z izolacją powietrzną, złośliwe oprogramowanie po cichu zbiera informacje i przechowuje je na USB. Gdy ten sam dysk zostanie podłączony do urządzenia z dostępem do Internetu, dane są automatycznie przesyłane do serwera kontrolowanego przez atakującego.

Jak chronić się przed atakami szakali złocistych

Obrona przed zaawansowanymi aktorami zagrożeń, takimi jak GoldenJackal, wymaga podejścia warstwowego, szczególnie w przypadku organizacji, które zarządzają poufnymi informacjami w systemach z izolacją powietrzną. Niektóre najlepsze praktyki obejmują:

• Ograniczenie korzystania z urządzeń USB : W środowiskach wrażliwych należy używać wyłącznie autoryzowanych urządzeń USB i regularnie sprawdzać, czy nie ma na nie zagrożeń.
• Segmentacja sieci : Organizacje powinny zapewnić ścisłe oddzielenie systemów mających dostęp do Internetu od systemów przetwarzających poufne dane. Utrudni to złośliwemu oprogramowaniu wypełnienie tej luki.
• Regularne monitorowanie : Rutynowe kontrole ruchu USB i logów systemowych mogą pomóc wykryć podejrzaną aktywność zanim się eskaluje.

GoldenJackal pozostaje ukrytym i niebezpiecznym przeciwnikiem, nieustannie udoskonalającym swoje taktyki. Poprzez zrozumienie sposobu działania grupy i podejmowanie proaktywnych kroków w celu zabezpieczenia odizolowanych sieci, organizacje mogą zmniejszyć ryzyko takich ataków.