Киберпреступники атакуют учреждения в Европе для кражи ценных данных

Следующая новость

Компания ESET – лидер в области информационной безопасности – обнаружила ряд атак, произошедших в Европе с мая 2022 года по март 2024 года, в ходе которых злоумышленники использовали набор инструментов для атак изолированных систем в государственном учреждении страны ЕС. Исследователи ESET относят эти атаки к кибершпионской APT-группе GoldenJackal, которая направленна на государственные и дипломатические учреждения.

Группа GoldenJackal нацелена на государственные учреждения в Европе, на Ближнем Востоке и в Южной Азии. Ранее, а именно в августе и сентябре 2019 года, а затем снова в июле 2021 года, специалисты ESET обнаружили инструменты GoldenJackal в посольстве страны Южной Азии в Беларуси, целью которых были изолированные системы. Конечной целью GoldenJackal, вероятно, является кража конфиденциальной информации, особенно из устройств, которые могут быть не подключены к Интернету.

Что такое изолированные системы и почему они интересуют злоумышленников?

Часто важные сети делают физически изолированными от других для уменьшения риска их взлома. Как правило, организации изолируют свои ценные ресурсы, например, системы голосования или промышленные системы управления, которые работают в электросетях. Поэтому именно эти сети интересуют злоумышленников. Компрометация изолированной сети требует гораздо больше ресурсов, чем взлом системы, подключенной к Интернету, а это означает, что фреймворки для атак на такие сети до сих пор разрабатывались исключительно APT-группами. Целью таких кибератак всегда является шпионаж.

В чем особенность инструментов киберпреступников?

Учитывая необходимый уровень сложности, довольно необычно, что за пять лет GoldenJackal удалось развернуть не один, а два отдельных набора инструментов, предназначенных для компрометации изолированных систем. Во время атаки на посольство страны Южной Азии в Беларуси использовались нестандартные инструменты, обнаруженные специалистами ESET только в этом конкретном случае. Киберпреступники использовали три основных компонента: GoldenDealer для доставки исполняемых файлов в изолированную систему через мониторинг устройств USB, GoldenHowl в качестве модульного бекдора с различными функциями и GoldenRobo для сбора и перехвата файлов.

«Когда жертва вставляет скомпрометированный USB-накопитель в изолированную систему и нажимает на компонент под видом папки, который на самом деле является вредоносным исполняемым файлом, угроза GoldenDealer устанавливается и запускается для сбора информации и хранения ее на USB-накопителе. Когда диск снова вставляется в компьютер, подключенный к Интернету, GoldenDealer получает информацию об изолированном компьютере и отправляет ее на командный сервер. В ответ сервер предоставляет один или несколько исполняемых файлов, которые нужно запустить на изолированном ПК. Наконец, когда диск снова вставляется в изолированный компьютер, GoldenDealer берет исполняемые файлы с диска и запускает их. Нет необходимости взаимодействовать с пользователем, поскольку GoldenDealer уже запущен», — объясняет Матиас Поролли, исследователь ESET.

Для предотвращения сложных атак и своевременного обнаружения любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).