ESET Research: GoldenJackal, APT-groep met airgap-mogelijkheden, steelt gegevens van Europese systemen
Om het risico op inbraken te beperken, worden zeer gevoelige netwerken vaak van andere geïsoleerd. Meestal isoleren organisaties hun meest waardevolle systemen, zoals deze voor het stemmen en industriële systemen die elektriciteitsnetten aansturen. Vaak zijn dit de netwerken die voor aanvallers interessant zijn. Een geïsoleerd netwerk compromitteren vergt veel meer inspanningen dan het binnendringen in een aan internet gelinkt systeem, zodat frameworks ontworpen om geïsoleerde netwerken aan te vallen, tot nu toe uitsluitend door APT-groepen ontwikkeld zijn. Het doel van deze aanvallen is altijd spionage.
“In mei 2022 ontdekten we een toolset die we niet aan een APT-groep konden toeschrijven. Maar toen de aanvallers een tool gebruikten vergelijkbaar met een ervan die al openbaar gedocumenteerd was, konden we dieper analyseren en een verband leggen met de openbaar gedocumenteerde toolset van GoldenJackal. Door extrapolatie slaagden we erin een eerdere aanval te identificeren waarbij die openbaar gedocumenteerde toolset was ingezet, alsook een oudere toolset die ook mogelijkheden biedt om geïsoleerde systemen aan te vallen”, zegt Matías Porolli, de ESET-onderzoeker die GoldenJackal analyseerde.
GoldenJackal heeft overheidsinstanties in Europa, het Midden-Oosten en Zuid-Azië als doelwit. ESET detecteerde GoldenJackal-tools in een Zuid-Aziatische ambassade in Wit-Rusland in augustus en september 2019, en opnieuw in juli 2021. Volgens ESET-telemetrie, werd van mei 2022 tot maart 2024 nog een andere Europese overheidsorganisatie herhaaldelijk als doelwit genomen.
Met dit niveau van verfijning is het vrij ongebruikelijk dat GoldenJackal in vijf jaar niet één, maar twee afzonderlijke toolsets kon implementeren die ontworpen zijn om geïsoleerde systemen te compromitteren. Dit bewijst de vindingrijkheid van de groep. De aanvallen op die ambassade in Wit-Rusland gebruikten aangepaste tools die tot nu toe enkel in dat specifieke geval werden gezien. De campagne gebruikte drie hoofdcomponenten: GoldenDealer om uitvoerbare bestanden via USB-bewaking aan het geïsoleerde systeem te leveren; GoldenHowl, een modulaire backdoor met verschillende functionaliteiten; en GoldenRobo, een bestandsverzamelaar met exfiltrator.
“Als een slachtoffer een gecompromitteerde USB-stick in een geïsoleerd systeem plaatst en op een component klikt die het pictogram van een map heeft, maar een kwaadaardig uitvoerbaar bestand is, wordt GoldenDealer geïnstalleerd en uitgevoerd en begint het informatie te verzamelen over het systeem en slaat het op een USB-stick op. Wordt de stick opnieuw in de aan internet gelinkte pc geplaatst, dan haalt GoldenDealer de informatie over de geïsoleerde pc van de USB-stick en stuurt deze naar de C&C-server. Deze antwoordt met een of meer uitvoerbare bestanden die op de geïsoleerde pc uitgevoerd worden. Als de stick dan opnieuw in de geïsoleerde pc geplaatst wordt, haalt GoldenDealer de uitvoerbare bestanden van de stick en voert ze uit. Interactie van de gebruiker is niet nodig omdat GoldenDealer al wordt uitgevoerd”, legt Porolli uit.
In zijn laatste reeks aanvallen op een overheidsorganisatie in de EU, ging GoldenJackal van de originele toolset over op een nieuwe, zeer modulaire toolset. Deze aanpak was niet alleen van toepassing op de kwaadaardige tools, maar ook op de rollen van de gecompromitteerde hosts binnen het gecompromitteerde systeem. Deze werden onder andere gebruikt om interessante, wellicht vertrouwelijke informatie te verzamelen en te verwerken, om bestanden, configuraties en opdrachten naar andere systemen te distribueren en om bestanden te exfiltreren.
Voor een meer gedetailleerde analyse en technische analyse van de tools van GoldenJackal, bekijk de laatste blog van ESET Research “Mind the (air) gap: GoldenJackal gooses government guardrails” op www.welivesecurity.com. Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.