Компания ESET, специализирующаяся на кибербезопасности, обнаружила серьезную угрозу для правительственных организаций. APT-группировка GoldenJackal разработала новые методы атак, позволяющие успешно компрометировать даже изолированные от внешних сетей системы. Эксперты предупреждают о растущей опасности и необходимости усиления мер защиты критически важной инфраструктуры.
Новые векторы атак на изолированные системы
Традиционно считалось, что физически изолированные от сетей системы (так называемые «воздушные зазоры») обеспечивают высокий уровень защиты от кибератак. Однако исследование ESET показало, что хакеры из GoldenJackal нашли способ обойти эти меры безопасности. Группировка использует специально разработанные наборы инструментов, распространяемые через USB-накопители, для компрометации изолированных правительственных систем и кражи конфиденциальных данных.
Хронология и масштабы атак GoldenJackal
Исследователи ESET выявили как минимум две успешные кампании GoldenJackal:
- Атака на посольство южноазиатской страны в Беларуси (сентябрь 2019 г. и июль 2021 г.)
- Продолжительная операция против европейской правительственной организации (май 2022 г. — март 2024 г.)
Эти инциденты подтверждают, что группировка активно действует уже несколько лет, постоянно совершенствуя свои методы.
Эволюция вредоносного инструментария GoldenJackal
Ранние версии малвари
Изначально группировка использовала вредонос GoldenDealer для заражения систем, подключенных к интернету. Этот инструмент автоматически копировал себя и другие вредоносные компоненты на подключаемые USB-накопители. При подключении зараженного накопителя к изолированной системе, устанавливались дополнительные модули:
- GoldenHowl — многофункциональный бэкдор на Python
- GoldenRobo — инструмент для кражи файлов
Новое поколение вредоносного ПО
В 2022 году GoldenJackal представила усовершенствованный модульный тулкит на базе языка Go. Новые компоненты включают:
- GoldenAce — малварь для заражения USB-накопителей
- GoldenUsbCopy и GoldenUsbGo — инструменты для кражи и передачи файлов
- GoldenBlacklist — модуль для поиска и архивирования электронных писем
- GoldenMailer — отправка украденных данных по email
- GoldenDrive — выгрузка информации в Google Drive
Механизм работы атаки на изолированные системы
Процесс компрометации изолированных систем GoldenJackal состоит из нескольких этапов:
- Заражение подключенной к сети системы через фишинг или уязвимости
- Распространение малвари на USB-накопители при их подключении
- Перенос вредоносного ПО на изолированную систему через зараженный USB
- Сканирование и кража конфиденциальных данных
- Сохранение украденной информации на USB в скрытом каталоге
- Передача данных на C&C-сервер при подключении USB к онлайн-системе
Эта многоступенчатая схема позволяет хакерам преодолевать физическую изоляцию защищенных систем и похищать критически важную информацию.
Обнаруженные ESET методы атак GoldenJackal демонстрируют растущую изощренность APT-группировок и необходимость комплексного подхода к кибербезопасности. Даже физически изолированные системы больше не могут считаться полностью защищенными. Организациям, работающим с критически важной информацией, необходимо внедрять многоуровневые системы защиты, регулярно проводить аудит безопасности и обучать сотрудников правилам кибергигиены. Только комплексный подход позволит эффективно противостоять современным киберугрозам.
