Κυβερνοεπίθεση σε ευρωπαϊκά κυβερνητικά συστήματα με κενά αέρα

Μια ομάδα hacking APT γνωστή ως GoldenJackal παραβίασε επιτυχώς κυβερνητικά συστήματα στην Ευρώπη χρησιμοποιώντας δύο προσαρμοσμένα σύνολα εργαλείων για την κλοπή ευαίσθητων δεδομένων, όπως email, κλειδιά κρυπτογράφησης, εικόνες, αρχεία και έγγραφα.

Σύμφωνα με έναν Αναφορά ESETαυτό συνέβη τουλάχιστον δύο φορές, μία εναντίον της πρεσβείας μιας χώρας της Νότιας Ασίας στη Λευκορωσία τον Σεπτέμβριο του 2019 και ξανά τον Ιούλιο του 2021, και μία άλλη εναντίον ενός ευρωπαϊκού κυβερνητικού οργανισμού μεταξύ Μαΐου 2022 και Μαρτίου 2024.

Τον Μάιο του 2023, η Kaspersky προειδοποίησε για τις δραστηριότητες του GoldenJackal, σημειώνοντας ότι οι παράγοντες απειλών επικεντρώνονται σε κυβερνητικές και διπλωματικές οντότητες για σκοπούς κατασκοπείας.

Αν και ήταν γνωστή η χρήση προσαρμοσμένων εργαλείων που διασκορπίζονται σε μονάδες πένας USB, όπως το «JackalWorm», δεν είχαν επιβεβαιωθεί προηγουμένως περιπτώσεις επιτυχούς συμβιβασμού συστημάτων με διάκενο αέρα.

Τα συστήματα με διάκενο αέρα χρησιμοποιούνται σε κρίσιμες λειτουργίες, οι οποίες συχνά διαχειρίζονται εμπιστευτικές πληροφορίες και απομονώνονται από ανοιχτά δίκτυα ως μέτρο προστασίας.

Είσοδος από το (αερ)κενό

Οι παλαιότερες επιθέσεις που βλέπει η ESET ξεκινούν μολύνοντας συστήματα συνδεδεμένα στο Διαδίκτυο, πιθανότατα με χρήση trojanized λογισμικού ή κακόβουλων εγγράφων, με ένα κακόβουλο λογισμικό που ονομάζεται “GoldenDealer”.

Το GoldenDealer παρακολουθεί την εισαγωγή μονάδων USB σε αυτά τα συστήματα και, όταν συμβεί, αντιγράφει αυτόματα τον εαυτό του και άλλα κακόβουλα στοιχεία σε αυτό.

Τελικά, η ίδια μονάδα USB εισάγεται σε έναν υπολογιστή με διάκενο αέρα, επιτρέποντας στο GoldenDealer να εγκαταστήσει το GoldenHowl (μια κερκόπορτα) και το GoldenRobo (κλοπή αρχείων) σε αυτά τα απομονωμένα συστήματα.

Κατά τη διάρκεια αυτής της φάσης, το GoldenRobo σαρώνει το σύστημα για έγγραφα, εικόνες, πιστοποιητικά, κλειδιά κρυπτογράφησης, αρχεία, αρχεία διαμόρφωσης OpenVPN και άλλες πολύτιμες πληροφορίες και τα αποθηκεύει σε έναν κρυφό κατάλογο στη μονάδα USB.

Όταν η μονάδα USB αφαιρεθεί από τον υπολογιστή με διάκενο αέρα και επανασυνδεθεί στο αρχικό σύστημα που είναι συνδεδεμένο στο Διαδίκτυο, το GoldenDealer στέλνει αυτόματα τα κλεμμένα δεδομένα που είναι αποθηκευμένα στη μονάδα στον διακομιστή εντολών και ελέγχου του παράγοντα απειλής (C2).

Το GoldenHowl είναι μια πολυλειτουργική κερκόπορτα Python που μπορεί να κλέψει αρχεία, να διευκολύνει την επιμονή, να σαρώσει για τρωτά σημεία και να επικοινωνήσει απευθείας με το C2. Η ESET λέει ότι φαίνεται να έχει σχεδιαστεί για να λειτουργεί σε μηχανήματα συνδεδεμένα στο Διαδίκτυο.

Νέο αρθρωτό σύνολο εργαλείων

Το 2022, το GoldenJackal άρχισε να χρησιμοποιεί ένα νέο αρθρωτό σύνολο εργαλείων που βασίζεται στο Go που εκτελούσε παρόμοιες δραστηριότητες με αυτές που περιγράφηκαν στην προηγούμενη ενότητα, αλλά επέτρεπε στους επιτιθέμενους να αναθέσουν διαφορετικούς ρόλους σε διαφορετικά μηχανήματα.

Για παράδειγμα, ορισμένες μηχανές χρησιμοποιήθηκαν για την εξαγωγή αρχείων ενώ άλλες λειτουργούσαν ως στάδια αρχείων ή σημεία διανομής διαμόρφωσης.

Το νέο κακόβουλο λογισμικό που χρησιμοποιείται για μόλυνση μέσω USB ονομάζεται GoldenAce και τα εργαλεία που κλέβουν αρχεία και τα στέλνουν στους εισβολείς ονομάζονται «GoldenUsbCopy» και «GoldenUsbGo», με το δεύτερο να είναι μια πιο πρόσφατη παραλλαγή του πρώτου.

Το GoldenUsbGo δεν χρησιμοποιεί πλέον διαμόρφωση κρυπτογραφημένη με AES, αλλά αντ’ αυτού εξάγει αρχεία με βάση σκληρούς κωδικοποιημένες οδηγίες, συμπεριλαμβανομένων πρόσφατα (έως 14 ημερών) τροποποιημένων αρχείων που είναι μικρότερα από 20 MB και αντιστοιχούν σε συγκεκριμένους τύπους περιεχομένου (λέξεις-κλειδιά όπως “pass”, “login”, ή “κλειδί”) ή ορισμένους τύπους αρχείων (.pdf, .doc/.docx, .sh, .bat).

Ένα άλλο ενδιαφέρον στοιχείο κακόβουλου λογισμικού είναι το GoldenBlacklist (και η εφαρμογή του GoldenPyBlacklist που βασίζεται σε Python), το οποίο φιλτράρει και αρχειοθετεί συγκεκριμένα μηνύματα ηλεκτρονικού ταχυδρομείου από παραβιασμένα συστήματα πριν από την εξαγωγή.

Τέλος, υπάρχει το GoldenMailer, το οποίο στέλνει με email τις κλεμμένες πληροφορίες στους εισβολείς και το GoldenDrive, το οποίο ανεβάζει τα δεδομένα στο Google Drive.

Η παρουσία δύο συνόλων εργαλείων που επίσης επικαλύπτονται με εργαλεία που περιγράφονται στην έκθεση της Kaspersky καταδεικνύει την ικανότητα της GoldenJackal να αναπτύσσει νέο προσαρμοσμένο κακόβουλο λογισμικό και να το βελτιστοποιεί για μυστικές επιχειρήσεις κατασκοπείας.

Για μια πλήρη λίστα των δεικτών συμβιβασμού (IoC) που σχετίζονται με όλα αυτά τα εργαλεία, μπορείτε να δείτε αυτό Σελίδα GitHub.