Специалисты компании ESET, лидера в области информационной безопасности, обнаружили ряд атак, произошедших в Европе с мая 2022 года по март 2024 года, во время которых злоумышленники использовали набор инструментов для атак изолированных систем в государственном учреждении страны ЕС. Исследователи ESET относят эти атаки к кибершпионской APT-группе GoldenJackal, нацеленной на государственные и дипломатические учреждения, в частности, в Европе, на Ближнем Востоке и в Южной Азии.
Ранее, а именно в августе и сентябре 2019 года, а затем снова в июле 2021 года, специалисты ESET обнаружили инструменты GoldenJackal в посольстве страны Южной Азии в Беларуси, целью которых были изолированные системы. Конечной целью GoldenJackal, вероятно, является кража конфиденциальной информации, особенно с устройств, которые могут быть не подключены к Интернету.
Что такое изолированные системы и почему они интересуют злоумышленников?
Часто важные сети делают физически изолированными от других для уменьшения риска их взлома. Обычно организации изолируют свои самые ценные ресурсы, например, системы голосования или промышленные системы управления, работающие в электросетях. Поэтому именно эти сети интересуют злоумышленников. Компрометация изолированной сети требует гораздо больше ресурсов, чем взлом системы, подключенной к Интернету, а это означает, что фреймворки для атак на такие сети до сих пор разрабатывались исключительно APT-группами. Целью таких кибератак всегда является шпионаж.
В чем особенность инструментов киберпреступников?
Учитывая необходимый уровень сложности, довольно необычно, что за пять лет GoldenJackal удалось развернуть не один, а два отдельных набора инструментов, предназначенных для компрометации изолированных систем. Во время атаки на посольство страны Южной Азии в Беларуси использовались нестандартные инструменты, обнаруженные специалистами ESET только в этом конкретном случае. Киберпреступники использовали три основных компонента: GoldenDealer для доставки исполняемых файлов в изолированную систему через мониторинг устройств USB, GoldenHowl в качестве модульного бекдора с различными функциями и GoldenRobo для сбора и перехвата файлов.
"Когда жертва вставляет скомпрометированный USB-накопитель в изолированную систему и нажимает на компонент под видом папки, который на самом деле является вредоносным исполняемым файлом, угроза GoldenDealer устанавливается и запускается для сбора информации и хранения ее на USB-накопителе. Когда диск снова вставляется в компьютер, подключенный к Интернету, GoldenDealer получает информацию об изолированном компьютере и отправляет ее на командный сервер. В ответ сервер предоставляет один или несколько исполняемых файлов, которые нужно запустить на изолированном ПК. Наконец, когда диск снова вставляется в изолированный компьютер, GoldenDealer берет исполняемые файлы с диска и запускает их. Нет необходимости взаимодействовать с пользователем, поскольку GoldenDealer уже запущен", – объясняет исследователь ESET Матиас Поролли.
Для предотвращения сложных атак и своевременного выявления любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).
О компании:
ESET – эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.