Τρίτη, 8 Οκτωβρίου, 2024
ΑρχικήΤεχνολογίαΚυβερνοεπίθεση σε ευρωπαϊκά κυβερνητικά συστήματα με κενά αέρα
Τεχνολογία

Κυβερνοεπίθεση σε ευρωπαϊκά κυβερνητικά συστήματα με κενά αέρα

Dimitris Troktikos
By Dimitris Troktikos
Airgapped.jpg
Airgapped.jpg


Μια ομάδα APT γνωστή ως GoldenJackal παραβίασε επιτυχώς κυβερνητικά συστήματα στην Ευρώπη χρησιμοποιώντας δύο προσαρμοσμένα σύνολα εργαλείων για την κλοπή ευαίσθητων δεδομένων, όπως email, κλειδιά κρυπτογράφησης, εικόνες, αρχεία και έγγραφα.

Σύμφωνα με έναν Αναφορά ESETαυτό συνέβη τουλάχιστον δύο φορές, μία εναντίον της πρεσβείας μιας χώρας της Νότιας Ασίας στη Λευκορωσία τον Σεπτέμβριο του 2019 και ξανά τον Ιούλιο του 2021, και μία άλλη εναντίον ενός ευρωπαϊκού κυβερνητικού οργανισμού μεταξύ Μαΐου 2022 και Μαρτίου 2024.

Τον Μάιο του 2023, η Kaspersky προειδοποίησε για τις δραστηριότητες του GoldenJackal, σημειώνοντας ότι οι παράγοντες απειλών επικεντρώνονται σε κυβερνητικές και διπλωματικές οντότητες για σκοπούς κατασκοπείας.

Αν και ήταν γνωστή η χρήση προσαρμοσμένων εργαλείων που διασκορπίζονται σε μονάδες πένας USB, όπως το «JackalWorm», δεν είχαν επιβεβαιωθεί προηγουμένως περιπτώσεις επιτυχούς συμβιβασμού συστημάτων με διάκενο αέρα.

Τα συστήματα με διάκενο αέρα χρησιμοποιούνται σε κρίσιμες λειτουργίες, οι οποίες συχνά διαχειρίζονται εμπιστευτικές πληροφορίες και απομονώνονται από ανοιχτά δίκτυα ως μέτρο προστασίας.

Είσοδος από το (αερ)κενό

Οι παλαιότερες επιθέσεις που βλέπει η ESET ξεκινούν μολύνοντας συστήματα συνδεδεμένα στο Διαδίκτυο, πιθανότατα με χρήση trojanized λογισμικού ή κακόβουλων εγγράφων, με ένα κακόβουλο λογισμικό που ονομάζεται “GoldenDealer”.

Το GoldenDealer παρακολουθεί την εισ μονάδων USB σε αυτά τα συστήματα και, όταν συμβεί, αντιγράφει αυτόματα τον εαυτό του και άλλα κακόβουλα στοιχεία σε αυτό.

Τελικά, η ίδια μονάδα USB εισάγεται σε έναν υπολογιστή με διάκενο αέρα, επιτρέποντας στο GoldenDealer να εγκαταστήσει το GoldenHowl (μια κερκόπορτα) και το GoldenRobo (κλοπή αρχείων) σε αυτά τα απομονωμένα συστήματα.

Κατά τη διάρκεια αυτής της φάσης, το GoldenRobo σαρώνει το σύστημα για έγγραφα, εικόνες, πιστοποιητικά, κλειδιά κρυπτογράφησης, αρχεία, αρχεία διαμόρφωσης OpenVPN και άλλες πολύτιμες πληροφορίες και τα αποθηκεύει σε έναν κρυφό κατάλογο στη μονάδα USB.

Όταν η μονάδα USB αφαιρεθεί από τον υπολογιστή με διάκενο αέρα και επανασυνδεθεί στο αρχικό σύστημα που είναι συνδεδεμένο στο Διαδίκτυο, το GoldenDealer στέλνει αυτόματα τα κλεμμένα δεδομένα που είναι αποθηκευμένα στη μονάδα στον διακομιστή εντολών και ελέγχου του παράγοντα απειλής (C2).

Το GoldenHowl είναι μια πολυλειτουργική κερκόπορτα Python που μπορεί να κλέψει αρχεία, να διευκολύνει την επιμονή, να σαρώσει για τρωτά σημεία και να επικοινωνήσει απευθείας με το C2. Η ESET λέει ότι φαίνεται να έχει σχεδιαστεί για να λειτουργεί σε ματα συνδεδεμένα στο Διαδίκτυο.

Επισκόπηση των επιθέσεων GoldenJackal
Επισκόπηση των επιθέσεων GoldenJackal
Πηγή: ESET

Νέο αρθρωτό σύνολο εργαλείων

Το 2022, το GoldenJackal άρχισε να χρησιμοποιεί ένα νέο αρθρωτό σύνολο εργαλείων που βασίζεται στο Go που εκτελούσε παρόμοιες δραστηριότητες με αυτές που περιγράφηκαν στην προηγούμενη ενότητα, αλλά επέτρεπε στους επιτιθέμενους να αναθέσουν διαφορετικούς ρόλους σε διαφορετικά μηχανήματα.

Για παράδειγμα, ορισμένες μηχανές χρησιμοποιήθηκαν για την εξαγωγή αρχείων ενώ άλλες λειτουργούσαν ως στάδια αρχείων ή σημεία διανομής διαμόρφωσης.

Το νέο κακόβουλο λογισμικό που χρησιμοποιείται για μόλυνση μέσω USB ονομάζεται GoldenAce και τα εργαλεία που κλέβουν αρχεία και τα στέλνουν στους εισβολείς ονομάζονται «GoldenUsbCopy» και «GoldenUsbGo», με το δεύτερο να είναι μια πιο πρόσφατη παραλλαγή του πρώτου.

Σύγκριση κωδικών μεταξύ GoldenUsbCopy και GoldenDealer
Σύγκριση κωδικών μεταξύ GoldenUsbCopy και GoldenDealer
Πηγή: ESET

Το GoldenUsbGo δεν χρησιμοποιεί πλέον διαμόρφωση κρυπτογραφημένη με AES, αλλά αντ’ αυτού εξάγει αρχεία με βάση σκληρούς κωδικοποιημένες οδηγίες, συμπεριλαμβανομένων πρόσφατα (έως 14 ημερών) τροποποιημένων αρχείων που είναι μικρότερα από MB και αντιστοιχούν σε συγκεκριμένους τύπους περιεχομένου (λέξεις-κλειδιά όπως “pass”, “login”, ή “κλειδί”) ή ορισμένους τύπους αρχείων (.pdf, .doc/.docx, .sh, .bat).

Ένα άλλο ενδιαφέρον στοιχείο κακόβουλου λογισμικού είναι το GoldenBlacklist (και η εφαρμογή του GoldenPyBlacklist που βασίζεται σε Python), το οποίο φιλτράρει και αρχειοθετεί συγκεκριμένα μηνύματα ηλεκτρονικού ταχυδρομείου από παραβιασμένα συστήματα πριν από την εξαγωγή.

Τέλος, υπάρχει το GoldenMailer, το οποίο στέλνει με email τις κλεμμένες πληροφορίες στους εισβολείς και το GoldenDrive, το οποίο ανεβάζει τα δεδομένα στο Google Drive.

Νέο σύνολο εργαλείων που χρησιμοποιείται σε επιθέσεις στην Ευρώπη
Νεότερο σύνολο εργαλείων που χρησιμοποιείται σε επιθέσεις στην Ευρώπη
Πηγή: ESET

Η παρουσία δύο συνόλων εργαλείων που επίσης επικαλύπτονται με εργαλεία που περιγράφονται στην έκθεση της Kaspersky καταδεικνύει την ικανότητα της GoldenJackal να αναπτύσσει νέο προσαρμοσμένο κακόβουλο λογισμικό και να το βελτιστοποιεί για μυστικές επιχειρήσεις κατασκοπείας.

Για μια πλήρη λίστα των δεικτών συμβιβασμού (IoC) που σχετίζονται με όλα αυτά τα εργαλεία, μπορείτε να δείτε αυτό Σελίδα GitHub.



VIA: bleepingcomputer.com

Προηγούμενο άρθρο
  1. Νέας γενιάς Mac: Κυκλοφορία του M4 Mac Studio και του Mac Pro έως το 2025
  2. Η Apple ετοιμάζει το M4 Mac Studio και το νέο Mac Pro για το 2025
  3. Αναβαθμίσεις στο Mac Studio και στο Mac Pro αναμένονται μέχρι το 2025
  4. Επερχόμενα μοντέλα: M4 Mac Studio και Mac Pro στα μέσα – τέλη του 2025
  5. Νέες κυκλοφορίες από την Apple: Το M4 Mac Studio και το Mac Pro αναμένονται σύντομα.
Dimitris Troktikos
Dimitris Troktikoshttps://www.troktiko.net
Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν. Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.
RELATED ARTICLES

Απάντηση

Most Popular

Φόρτωση περισσοτέρων

Lastest Articles

Φόρτωση περισσοτέρων