Компанія ESET — лідер у галузі інформаційної безпеки — виявила ряд атак, що відбулися у Європі з травня 2022 року до березня 2024 року, під час яких зловмисники використовували набір інструментів для атак ізольованих систем в державній установі країни ЄС. Дослідники ESET відносять ці атаки до кібершпигунської APT-групи GoldenJackal, яка спрямована на державні та дипломатичні установи.
Група GoldenJackal націлена на державні установи в Європі, на Близькому Сході та в Південній Азії. Раніше, а саме у серпні та вересні 2019 року, а потім знову в липні 2021 року, спеціалісти ESET виявили інструменти GoldenJackal у посольстві країни Південної Азії в Білорусі, ціллю яких були ізольовані системи. Кінцевою метою GoldenJackal, ймовірно, є викрадення конфіденційної інформації, особливо з пристроїв, які можуть бути не підключені до Інтернету.
Що таке ізольовані системи та чому вони цікавлять зловмисників?
Часто важливі мережі роблять фізично ізольованими від інших для зменшення ризику їх зламу. Зазвичай організації ізолюють свої найцінніші ресурси, наприклад, системи голосування або промислові системи управління, що працюють в електромережах. Тому саме ці мережі цікавлять зловмисників. Компрометація ізольованої мережі потребує набагато більше ресурсів, ніж злам системи, підключеної до Інтернету, а це означає, що фреймворки для атак на такі мережі досі розроблялися виключно APT-групами. Ціллю таких кібератак завжди є шпигунство.
У чому особливість інструментів кіберзлочинців?
Зважаючи на необхідний рівень складності, досить незвично, що за п’ять років GoldenJackal вдалося розгорнути не один, а два окремих набори інструментів, призначених для компрометації ізольованих систем. Під час атаки на посольство країни Південної Азії в Білорусі використовувалися нестандартні інструменти, які спеціалісти ESETвиявили лише в цьому конкретному випадку. Кіберзлочинці використовували три основні компоненти: GoldenDealer для доставки виконуваних файлів у ізольовану систему через моніторинг пристроїв USB, GoldenHowl як модульний бекдор з різними функціями та GoldenRobo для збору та перехоплення файлів.
«Коли жертва вставляє скомпрометований USB-накопичувач в ізольовану систему і натискає на компонент під виглядом папки, який насправді є шкідливим виконуваним файлом, загроза GoldenDealer встановлюється та запускається для збору інформацію та зберігання її на USB-накопичувачі. Коли диск знову вставляється в комп’ютер, під’єднаний до Інтернету, GoldenDealer отримує інформацію про ізольований комп’ютер та надсилає її на командний сервер. Сервер у відповідь надає один або декілька виконуваних файлів, які потрібно запустити на ізольованому ПК. Нарешті, коли диск знову вставляється в ізольований комп’ютер, GoldenDealer бере виконувані файли з диска та запускає їх. Немає необхідності взаємодіяти з користувачем, оскільки GoldenDealer уже запущено», — пояснює Матіас Пороллі, дослідник ESET.
Для запобігання складним атакам та своєчасного виявлення будь-якої шкідливої активності варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR).