Cybersicherheitsexperten von ESET haben eine besorgniserregende Entwicklung aufgedeckt: Die fortschrittliche persistente Bedrohungsgruppe (APT) GoldenJackal hat erfolgreich mehrere isolierte Regierungssysteme in Europa kompromittiert. Diese Systeme galten bisher aufgrund ihrer physischen Trennung vom Internet als nahezu unangreifbar. Die Angreifer setzten dabei zwei spezialisierte Toolsets ein, um vertrauliche Daten wie E-Mails, Verschlüsselungsschlüssel, Bilder und Dokumente zu entwenden.
Zeitliche Einordnung und Ziele der Angriffe
Die Forscher identifizierten mindestens zwei Kampagnen von GoldenJackal:
- September 2019 und Juli 2021: Angriffe auf die Botschaft eines nicht näher benannten südasiatischen Landes in Belarus
- Mai 2022 bis März 2024: Fortlaufende Kompromittierung einer europäischen Regierungsorganisation
Diese Erkenntnisse decken sich mit früheren Warnungen der Kaspersky Labs vom Sommer 2023, die GoldenJackal bereits als Bedrohung für Regierungs- und diplomatische Einrichtungen einstuften. Der primäre Fokus der Gruppe liegt offenbar auf Cyberspionage.
Innovative Infektionsmethode überwindet Air-Gap-Sicherheit
Besonders alarmierend ist die Fähigkeit von GoldenJackal, sogenannte Air-Gap-Systeme zu infiltrieren. Diese Systeme sind physisch vom Internet und potenziell gefährlichen Peripheriegeräten getrennt, was sie bislang als nahezu unangreifbar gelten ließ. Die Angreifer umgehen diese Sicherheitsmaßnahme durch den gezielten Einsatz von USB-Laufwerken als Übertragungsvektor.
Mehrstufiger Infektionsprozess
Der Angriff erfolgt in mehreren Phasen:
- Initiale Infektion: Internetverbundene Systeme werden mit der GoldenDealer-Malware infiziert, vermutlich durch manipulierte Software oder schädliche Dokumente.
- USB-Infektion: GoldenDealer überwacht das Anschließen von USB-Laufwerken und kopiert sich selbst sowie weitere schädliche Komponenten darauf.
- Air-Gap-Überbrückung: Beim Anschluss des infizierten USB-Laufwerks an ein isoliertes System werden GoldenHowl (Backdoor) und GoldenRobo (Datendiebstahl-Malware) installiert.
- Datenexfiltration: GoldenRobo durchsucht das System nach sensiblen Daten und speichert diese in einem versteckten Verzeichnis auf dem USB-Laufwerk.
- Datenübertragung: Sobald das USB-Laufwerk wieder an ein internetverbundenes System angeschlossen wird, überträgt GoldenDealer die gestohlenen Daten an einen Command-and-Control-Server.
Weiterentwicklung des Malware-Arsenals
Die Forscher stellten eine kontinuierliche Weiterentwicklung der eingesetzten Malware fest. Ab 2022 setzte GoldenJackal ein neues modulares Toolkit auf Go-Basis ein, das eine flexiblere Rollenverteilung der kompromittierten Systeme ermöglichte. Zu den neuen Komponenten gehören:
- GoldenAce: Infiziert USB-Laufwerke
- GoldenUsbCopy und GoldenUsbGo: Stehlen und übertragen Dateien
- GoldenBlacklist: Identifiziert und archiviert spezifische E-Mails
- GoldenMailer: Versendet gestohlene Daten per E-Mail
- GoldenDrive: Lädt Daten in Google Drive hoch
Die Weiterentwicklung der Malware zeigt deutlich, dass GoldenJackal seine Taktiken und Werkzeuge kontinuierlich verfeinert, um Sicherheitsmaßnahmen zu umgehen und die Effizienz der Angriffe zu steigern. Diese Entwicklung unterstreicht die Notwendigkeit für Organisationen, ihre Sicherheitsstrategien ständig zu überprüfen und anzupassen – selbst für vermeintlich sichere, isolierte Systeme. Eine mehrschichtige Verteidigungsstrategie, die sowohl technische als auch organisatorische Maßnahmen umfasst, ist unerlässlich, um sich gegen solch hochentwickelte Bedrohungen zu schützen.
