Группировка GoldenJackal взломала то, что ранее считалось неуязвимым

Исследователи из ESET обнаружили серию кибератак на системы с «воздушным зазором» (Air Gap) правительственных организаций, проведённых APT-группировкой GoldenJackal. Кампания шпионажа велась с мая 2022 по март 2024 года с использованием специализированных инструментов для проникновения в системы, не подключённые к интернету.

Группировка GoldenJackal ведёт свою деятельность как минимум с 2019 года. В числе ранних целей хакеров значится посольство Южной Азии в Беларуси, где они впервые использовали свои уникальные инструменты, направленные на изолированные системы. Эта кампания стала одним из первых зафиксированных примеров подобных атак, а сами инструменты впервые задокументированы публично.

Основные компоненты использованных инструментов включают:

• GoldenDealer — программа для передачи вредоносных файлов через USB-носители;
• GoldenHowl — модульный бэкдор с функциями сбора и эксфильтрации данных;
• GoldenRobo — инструмент для сбора и передачи файлов с заражённых систем.

В ходе более поздних атак на правительственные организации Европейского Союза GoldenJackal усовершенствовала свои инструменты, сделав их модульными. Это позволило эффективно настраивать сбор и передачу данных, а также управлять конфигурациями на заражённых системах.

Исследователи отметили, что часть заражённых систем использовалась для передачи файлов, другие служили локальными серверами для получения и распределения информации. Целью атак становились системы с конфиденциальной информацией, особенно те, что не имели выхода в интернет.

Один из возможных сценариев атаки GoldenJackal предполагает заражение USB-накопителя на внешнем компьютере и его последующее подключение к изолированной системе сотрудником, не подозревающим об угрозе. Вредоносное ПО, установленное на устройстве, собирает данные, а затем возвращает их хакерам при повторном подключении к системе с доступом к интернету.

GoldenJackal сосредоточена на правительственных и дипломатических структурах в Европе, Южной Азии и на Ближнем Востоке. Атаки группировки нацелены на кражу конфиденциальной информации, преимущественно с высокозащищённых машин.

Хотя ESET связала инструменты с GoldenJackal, происхождение самой группировки остаётся неясным. Использование USB-устройств для проникновения в изолированные системы подчёркивает опасность подобных атак, способных обходить даже самые строгие меры безопасности.

Данный случай с атаками на системы с воздушным зазором демонстрирует, что даже самые защищённые сети могут быть уязвимы перед изощрёнными методами проникновения. Зависимость от физического оборудования, такого как USB-устройства, и тонкость подхода злоумышленников подчёркивают важность усиленной кибербезопасности и осведомлённости персонала, ведь даже малейшая ошибка может обернуться масштабной утечкой данных.