Ερευνητές της ESET ανακάλυψαν επιθέσεις από τους hackers GoldenJackal, που στόχευσαν air-gapped συστήματα σε κυβερνητικούς οργανισμούς.
Οι επιθέσεις γίνονταν στα πλαίσια μιας εκστρατείας κατασκοπείας, που ξεκίνησε τον Μάιο του 2022 και συνεχίστηκε μέχρι τον Μάρτιο του 2024. Οι επιτιθέμενοι χρησιμοποίησαν μια σειρά custom εργαλείων, που είχαν σχεδιαστεί για να διεισδύσουν σε απομονωμένα συστήματα, ιδιαίτερα σε αυτά που δεν είχαν άμεση πρόσβαση στο Διαδίκτυο.
GoldenJackal hackers
Η ESET εντόπισε τις δραστηριότητες της ομάδας GoldenJackal, η οποία δραστηριοποιείται από το 2019. Τότε είχε στοχεύσει μια πρεσβεία της Νότιας Ασίας στη Λευκορωσία. Κατά τη διάρκεια αυτής της εκστρατείας, η GoldenJackal χρησιμοποίησε ένα custom σύνολο εργαλείων που στόχευε ειδικά air-gapped συστήματα.
Δείτε επίσης: Ουκρανοί hackers πίσω από την επίθεση στη ρωσική VGTRK;
Κάποια από τα βασικά malware που χρησιμοποίησαν οι GoldenJackal hackers είναι:
GoldenDealer: Διευκόλυνε τη μεταφορά κακόβουλων αρχείων μέσω μονάδων USB
GoldenHowl: Ένα modular backdoor που συλλέγει και κλέβει δεδομένα
GoldenRobo: Ένα εργαλείο που συλλέγει και κλέβει αρχεία από παραβιασμένα συστήματα
Η ESET ανακάλυψε και τις πιο πρόσφατες επιθέσεις (Μαΐου 2022-Μαρτίου 2024) σε air-gapped συστήματα κυβερνητικού οργανισμού της Ευρωπαϊκής Ένωσης.
Σε αυτές τις επιθέσεις, οι hackers GoldenJackal αναβάθμισαν το κιτ εργαλείων τους, για πιο αποτελεσματική παραμονή σε δίκτυα, συλλογή και διανομή αρχείων και διαχείριση διαμορφώσεων σε στοχευμένα συστήματα.
Δείτε επίσης: Microsoft και DOJ στόχευσαν την υποδομή των Ρώσων hackers ColdRiver
«Κάποιοι κεντρικοί υπολογιστές καταχράστηκαν για την εξαγωγή αρχείων, άλλοι χρησιμοποιήθηκαν ως τοπικοί διακομιστές για τη λήψη και διανομή staged files ή configuration files και άλλοι κρίθηκαν ενδιαφέροντες για συλλογή αρχείων, για σκοπούς κατασκοπείας», εξήγησε η ESET.
Σύμφωνα με τους ερευνητές, οι hackers GoldenJackal, στοχεύουν κυρίως κυβερνητικές και διπλωματικές οντότητες στην Ευρώπη, τη Νότια Ασία και τη Μέση Ανατολή
. Στόχος είναι κατά βάση η κλοπή εμπιστευτικών πληροφοριών, ιδιαίτερα από air-gapped συστήματα.Ενώ η ESET συνέδεσε τα εργαλεία με τη GoldenJackal, η προέλευση της ομάδας παραμένει ασαφής. Ωστόσο, μπορεί να υπάρχει κάποια σύνδεση με τη Ρωσία, καθώς έχουν εντοπιστεί ομοιότητες με κακόβουλο λογισμικό που αποδίδεται σε ρωσόφωνες ομάδες.
«Στο κακόβουλο λογισμικό GoldenHowl, το πρωτόκολλο C&C αναφέρεται ως transport_http, μια έκφραση που χρησιμοποιείται συνήθως από τους Turla […] και MoustachedBouncer. Αυτό μπορεί να υποδηλώνει ότι οι προγραμματιστές του GoldenHowl είναι Ρωσόφωνοι», έγραψε η ESET.
Δείτε επίσης: Οι hackers CeranaKeeper στοχεύουν τη Νοτιοανατολική Ασία
Οι επιθέσεις των hackers GoldenJackal χρησιμεύουν ως υπενθύμιση ότι τα air-gapped συστήματα, αν και συχνά θεωρούνται πιο ασφαλή, δεν είναι απρόσβλητα από επιθέσεις στον κυβερνοχώρο. Αυτές οι επιθέσεις υπογραμμίζουν την ανάγκη για μια ολοκληρωμένη στρατηγική ασφάλειας που να περιλαμβάνει τόσο φυσικά όσο και ψηφιακά μέτρα.
Επιπλέον, αυτές οι επιθέσεις υπογραμμίζουν την ανάγκη για ισχυρές πολιτικές και διαδικασίες κυβερνοασφάλειας εντός των κυβερνητικών οργανισμών. Αυτό περιλαμβάνει τακτική εκπαίδευση για τους υπαλλήλους, καθώς και αυστηρούς ελέγχους πρόσβασης και πρωτόκολλα για το χειρισμό ευαίσθητων πληροφοριών. Λαμβάνοντας μια προληπτική προσέγγιση στην ασφάλεια στον κυβερνοχώρο, οι οργανισμοί μπορούν να προστατευθούν καλύτερα από προηγμένες απειλές όπως η GoldenJackal.
Πηγή: www.infosecurity-magazine.com