GoldenJackal: скрытый злоумышленник, атакующий правительственные сети

GoldenJackal — сравнительно малоизвестная, но очень мощная группа кибершпионажа, которая была связана с многочисленными атаками на дипломатические и правительственные организации, особенно фокусируясь на системах, которые физически изолированы от Интернета. Этот сложный субъект угроз действует с высокой степенью скрытности и изобретательности, используя специально разработанные наборы вредоносных программ для взлома чувствительных сетей и кражи конфиденциальных данных.

Эволюция инструментов GoldenJackal

С момента первого попадания в поле зрения исследователей безопасности в 2023 году GoldenJackal был связан с атаками в таких регионах, как Ближний Восток, Южная Азия и Европа. Однако его деятельность датируется как минимум 2019 годом. Отличительной чертой этой группы является использование ею специализированного вредоносного ПО для взлома изолированных систем — тех, которые не подключены ни к одной сети, что затрудняет удаленное проникновение.

Вредоносное ПО GoldenJackal предназначено для распространения через USB-накопители. Червь, называемый JackalWorm , распространяется между подключенными устройствами и часто работает в паре с трояном, известным как JackalControl, который дает злоумышленникам контроль над скомпрометированными системами. Цель состоит в том, чтобы собирать и извлекать данные из высокоценных целей, таких как правительственные компьютеры, к которым в противном случае трудно получить доступ.

Кража данных из изолированных сетей

Основная цель группы, по-видимому, заключается в краже данных у высокопоставленных целей. Исследователи полагают, что GoldenJackal разработал несколько версий вредоносного ПО для кражи информации с изолированных компьютеров. Эта тактика включает заражение USB-накопителей вредоносным ПО, которое затем переносит полезные данные между подключенными к Интернету машинами и изолированными системами.

Некоторые из вредоносных программ, приписываемых GoldenJackal, включают:

• GoldenDealer : разработан для взлома подключенных к Интернету систем и передачи вредоносных данных на изолированных от Интернета компьютерах через зараженные USB-накопители.
• GoldenHowl : гибкий бэкдор, позволяющий злоумышленникам красть файлы, создавать задачи и устанавливать защищенные соединения с внешними серверами.
• GoldenRobo : инструмент сбора данных, используемый для извлечения украденной информации.

Растущий арсенал

Совсем недавно GoldenJackal был замечен в использовании совершенно нового набора вредоносных программ, в основном написанных на языке программирования Go, нацеленных на определенные цели в Европе. Эти инструменты предназначены для выполнения многих из тех же задач, что и их более ранние аналоги, такие как копирование файлов с USB-накопителей и отправка данных обратно злоумышленникам, но с большей эффективностью и сложностью.

Примечательно, что вредоносное ПО группы разработано для поэтапной работы. Как только зараженный USB-накопитель достигает изолированной системы, вредоносное ПО незаметно собирает информацию и сохраняет ее на USB-накопителе. Когда этот же накопитель подключается к устройству с доступом в Интернет, данные автоматически передаются на контролируемый злоумышленником сервер.

Как защититься от атак GoldenJackal

Защита от таких продвинутых злоумышленников, как GoldenJackal, требует многоуровневого подхода, особенно для организаций, которые управляют конфиденциальной информацией в изолированных системах. Некоторые передовые практики включают:

• Ограничение использования USB-устройств : в уязвимых средах следует использовать только авторизованные USB-устройства, и их следует регулярно сканировать на предмет признаков взлома.
• Сегментация сети : организациям следует обеспечить строгое разделение систем, подключенных к Интернету, и систем, обрабатывающих конфиденциальные данные, что затруднит проникновение вредоносных программ через этот разрыв.
• Регулярный мониторинг : регулярные проверки USB-трафика и системных журналов могут помочь обнаружить подозрительную активность до того, как она станет эскалацией.

GoldenJackal остается скрытным и опасным противником, постоянно совершенствующим свою тактику. Понимая, как действует группа, и предпринимая упреждающие шаги для защиты изолированных сетей, организации могут снизить риск таких атак.