Группировка GoldenJackal взломала то, что ранее считалось неуязвимым

Группировка GoldenJackal взломала то, что ранее считалось неуязвимым

ESET раскрывает изощрённую схему атаки на изолированные системы.

image

Исследователи из ESET обнаружили серию кибератак на системы с «воздушным зазором» (Air Gap) правительственных организаций, проведённых APT-группировкой GoldenJackal. Кампания шпионажа велась с мая 2022 по март 2024 года с использованием специализированных инструментов для проникновения в системы, не подключённые к интернету.

Группировка GoldenJackal ведёт свою деятельность как минимум с 2019 года. В числе ранних целей хакеров значится посольство Южной Азии в Беларуси, где они впервые использовали свои уникальные инструменты, направленные на изолированные системы. Эта кампания стала одним из первых зафиксированных примеров подобных атак, а сами инструменты впервые задокументированы публично.

Основные компоненты использованных инструментов включают:

  • GoldenDealer — программа для передачи вредоносных файлов через USB-носители;
  • GoldenHowl — модульный бэкдор с функциями сбора и эксфильтрации данных;
  • GoldenRobo — инструмент для сбора и передачи файлов с заражённых систем.

В ходе более поздних атак на правительственные организации Европейского Союза GoldenJackal усовершенствовала свои инструменты, сделав их модульными. Это позволило эффективно настраивать сбор и передачу данных, а также управлять конфигурациями на заражённых системах.

Исследователи отметили, что часть заражённых систем использовалась для передачи файлов, другие служили локальными серверами для получения и распределения информации. Целью атак становились системы с конфиденциальной информацией, особенно те, что не имели выхода в интернет.

Один из возможных сценариев атаки GoldenJackal предполагает заражение USB-накопителя на внешнем компьютере и его последующее подключение к изолированной системе сотрудником, не подозревающим об угрозе. Вредоносное ПО, установленное на устройстве, собирает данные, а затем возвращает их хакерам при повторном подключении к системе с доступом к интернету.

GoldenJackal сосредоточена на правительственных и дипломатических структурах в Европе, Южной Азии и на Ближнем Востоке. Атаки группировки нацелены на кражу конфиденциальной информации, преимущественно с высокозащищённых машин.

Хотя ESET связала инструменты с GoldenJackal, происхождение самой группировки остаётся неясным. Использование USB-устройств для проникновения в изолированные системы подчёркивает опасность подобных атак, способных обходить даже самые строгие меры безопасности.

Данный случай с атаками на системы с воздушным зазором демонстрирует, что даже самые защищённые сети могут быть уязвимы перед изощрёнными методами проникновения. Зависимость от физического оборудования, такого как USB-устройства, и тонкость подхода злоумышленников подчёркивают важность усиленной кибербезопасности и осведомлённости персонала, ведь даже малейшая ошибка может обернуться масштабной утечкой данных.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь