В частности, хакеры из группы GoldenJackal нацеливаются на устройства, которые могут быть не подключены к Интернету.
Специалисты компании ESET, лидера в области информационной безопасности, обнаружили ряд атак, произошедших в Европе с мая 2022 года по март 2024 года, во время которых злоумышленники использовали набор инструментов для атак изолированных систем в государственном учреждении страны ЕС. Исследователи ESET относят эти атаки к кибершпионской APT-группе GoldenJackal, нацеленной на государственные и дипломатические учреждения, в частности, в Европе, на Ближнем Востоке и в Южной Азии.
Ранее, а именно в августе и сентябре 2019 года, а затем снова в июле 2021 года, специалисты ESET обнаружили инструменты GoldenJackal в посольстве страны Южной Азии в Беларуси, целью которых были изолированные системы. Конечной целью GoldenJackal, вероятно, является кража конфиденциальной информации, особенно с устройств, которые могут быть не подключены к Интернету.
Часто важные сети делают физически изолированными от других для уменьшения риска их взлома. Обычно организации изолируют свои самые ценные ресурсы, например, системы голосования или промышленные системы управления, работающие в электросетях. Поэтому именно эти сети интересуют злоумышленников. Компрометация изолированной сети требует гораздо больше ресурсов, чем взлом системы, подключенной к Интернету, а это означает, что фреймворки для атак на такие сети до сих пор разрабатывались исключительно APT-группами. Целью таких кибератак всегда является шпионаж.
Учитывая необходимый уровень сложности, довольно необычно, что за пять лет GoldenJackal удалось развернуть не один, а два отдельных набора инструментов, предназначенных для компрометации изолированных систем. Во время атаки на посольство страны Южной Азии в Беларуси использовались нестандартные инструменты, обнаруженные специалистами ESET только в этом конкретном случае. Киберпреступники использовали три основных компонента: GoldenDealer для доставки исполняемых файлов в изолированную систему через мониторинг устройств USB, GoldenHowl в качестве модульного бекдора с различными функциями и GoldenRobo для сбора и перехвата файлов.
"Когда жертва вставляет скомпрометированный USB-накопитель в изолированную систему и нажимает на компонент под видом папки, который на самом деле является вредоносным исполняемым файлом, угроза GoldenDealer устанавливается и запускается для сбора информации и хранения ее на USB-накопителе. Когда диск снова вставляется в компьютер, подключенный к Интернету, GoldenDealer получает информацию об изолированном компьютере и отправляет ее на командный сервер. В ответ сервер предоставляет один или несколько исполняемых файлов, которые нужно запустить на изолированном ПК. Наконец, когда диск снова вставляется в изолированный компьютер, GoldenDealer берет исполняемые файлы с диска и запускает их. Нет необходимости взаимодействовать с пользователем, поскольку GoldenDealer уже запущен", – объясняет исследователь ESET Матиас Поролли.
Для предотвращения сложных атак и своевременного выявления любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).
ESET – эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.