Компанія ESET, відомий розробник антивірусного програмного забезпечення, виявила серію успішних кібератак на ізольовані урядові системи в Європі. За цими атаками стоїть APT-група (Advanced Persistent Threat) під назвою GoldenJackal. Хакери використали складні інструменти для проникнення в системи, фізично відокремлені від зовнішніх мереж, та викрадення конфіденційних даних.
Хронологія та цілі атак GoldenJackal
Дослідники ESET зафіксували щонайменше дві масштабні кампанії GoldenJackal:
- Вересень 2019 року та липень 2021 року: атаки на посольство неназваної південноазіатської країни в Білорусі
- Травень 2022 року – березень 2024 року: тривала операція проти європейської урядової організації
Ці атаки підтверджують попередні попередження “Лабораторії Касперського” про діяльність GoldenJackal, спрямовану на урядові та дипломатичні установи з метою шпигунства.
Унікальність атак на ізольовані системи
Особливість цих кібератак полягає в тому, що хакерам вдалося скомпрометувати системи, які фізично ізольовані від зовнішніх мереж та потенційно небезпечних периферійних пристроїв. Раніше подібні випадки не мали документального підтвердження, що робить ці атаки особливо небезпечними.
Механізм атаки: від зараження до викрадення даних
Етап 1: Початкове зараження
Атаки починалися із зараження підключених до інтернету систем, ймовірно, через троянізоване програмне забезпечення або шкідливі документи. На цьому етапі використовувалося шкідливе ПЗ під назвою GoldenDealer.
Етап 2: Поширення через USB-накопичувачі
GoldenDealer відстежував підключення USB-накопичувачів до заражених машин і автоматично копіював на них себе та інші шкідливі компоненти. Це дозволяло атакуючим подолати “повітряний розрив” між зовнішніми та ізольованими мережами.
Етап 3: Зараження ізольованих систем
При підключенні зараженого USB-накопичувача до ізольованої машини, GoldenDealer встановлював два ключових компоненти:
- GoldenHowl – багатофункціональний бекдор
- GoldenRobo – шкідливе ПЗ для крадіжки файлів
Етап 4: Збір та ексфільтрація даних
GoldenRobo сканував систему, збираючи конфіденційні дані: документи, зображення, сертифікати, ключі шифрування, архіви та файли конфігурації OpenVPN. Викрадені дані зберігалися в прихованому каталозі на USB-накопичувачі. При повторному підключенні цього накопичувача до машини з доступом до інтернету, GoldenDealer автоматично передавав зібрану інформацію на сервер управління атакуючих.
Еволюція інструментарію GoldenJackal
У 2022 році група почала використовувати новий модульний інструментарій на базі мови Go. Це дозволило зловмисникам призначати різні ролі зараженим машинам, наприклад, для крадіжки файлів або розповсюдження конфігурацій. Нові компоненти включають:
- GoldenAce – шкідливе ПЗ для зараження USB-накопичувачів
- GoldenUsbCopy і GoldenUsbGo – інструменти для крадіжки та передачі файлів
- GoldenBlacklist – компонент для пошуку та архівування певних електронних листів
- GoldenMailer – відправляє викрадену інформацію зловмисникам електронною поштою
- GoldenDrive – завантажує дані в Google Drive
Ці кібератаки демонструють зростаючу витонченість методів APT-груп та необхідність посилення захисту навіть ізольованих систем. Організаціям слід переглянути свої політики безпеки, особливо щодо використання USB-накопичувачів, та впровадити багаторівневий підхід до захисту критичної інфраструктури.
