I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una serie di attacchi avvenuti in Europa tra maggio 2022 e marzo 2024, in cui gli attaccanti hanno utilizzato un set di strumenti in grado di colpire sistemi air-gapped, in un’organizzazione governativa di un Paese dell’Unione Europea. ESET attribuisce la campagna a GoldenJackal, un gruppo APT di cyberspionaggio che prende di mira enti governativi e diplomatici. Analizzando il set di strumenti utilizzati dal gruppo, ESET ha identificato un attacco che GoldenJackal ha effettuato nel 2019 con strumenti personalizzati mirato ai sistemi air-gapped di un’ambasciata dell’Asia meridionale in Bielorussia. L’obiettivo finale di GoldenJackal è molto probabilmente quello di sottrarre informazioni riservate e altamente sensibili, in particolare da macchine di alto profilo che potrebbero non essere collegate a Internet. ESET Research ha presentato le proprie scoperte alla conferenza Virus Bulletin 2024.
Per minimizzare il rischio di compromissione, le reti altamente sensibili sono spesso isolate (air-gapped), ossia separate da altre reti. In genere, le organizzazioni isolano i loro sistemi più preziosi, come i sistemi di voto e i sistemi di controllo industriale che gestiscono le reti elettriche. Questi sono spesso i principali bersagli per gli attaccanti. Compromettere una rete isolata è molto più complesso rispetto alla violazione di un sistema connesso a Internet, il che significa che i framework progettati per attaccare reti isolate sono stati finora sviluppati esclusivamente da gruppi APT. Lo scopo di tali attacchi è sempre lo spionaggio.
“A maggio 2022, abbiamo scoperto un set di strumenti che non potevamo attribuire a nessun gruppo APT. Ma una volta che gli attaccanti hanno utilizzato uno strumento simile a uno di quelli già documentati, siamo riusciti a trovare un collegamento tra il set di strumenti noto di GoldenJackal e il nuovo. Con ulteriori approfondimenti, abbiamo identificato un attacco precedente in cui era stato distribuito il set di strumenti documentato, così come un set di strumenti più vecchio che ha anche capacità di attaccare sistemi air-gapped,” spiega il ricercatore di ESET, Matías Porolli, che ha analizzato il set di strumenti di GoldenJackal.
GoldenJackal ha preso di mira enti governativi in Europa, Medio Oriente e Asia meridionale. ESET ha rilevato strumenti di GoldenJackal in un’ambasciata sud-asiatica in Bielorussia nell’agosto e settembre 2019 e di nuovo nel luglio 2021. Più recentemente, secondo la telemetria di ESET, un’altra organizzazione governativa in Europa è stata ripetutamente attaccata da maggio 2022 a marzo 2024.
Con il livello di sofisticazione richiesto, è piuttosto insolito che in cinque anni GoldenJackal sia riuscito a distribuire non uno, ma due set di strumenti separati progettati per compromettere sistemi isolati. Questo dimostra la notevole capacità di adattamento del gruppo. Gli attacchi contro un’ambasciata sud-asiatica in Bielorussia hanno utilizzato strumenti personalizzati che abbiamo visto solo in quel contesto specifico. La campagna ha utilizzato tre componenti principali: GoldenDealer per distribuire eseguibili al sistema air-gapped tramite monitoraggio USB; GoldenHowl, una backdoor modulare con varie funzionalità; e GoldenRobo, un raccoglitore ed esfiltratore di file.
“Quando una vittima inserisce un’unità USB compromessa in un sistema air-gapped e clicca su un componente che ha l’icona di una cartella ma in realtà è un eseguibile dannoso, viene installato e avviato GoldenDealer, che inizia a raccogliere informazioni sul sistema air-gapped memorizzandole sull’unità USB. Quando l’unità viene nuovamente inserita in un PC connesso a Internet, GoldenDealer prende le informazioni sul PC air-gapped dall’unità USB e le invia al server C&C (Command&Control). Il server risponde con uno o più eseguibili da lanciare sul sistema air-gapped. Infine, quando l’unità viene nuovamente inserita nel sistema air-gapped, GoldenDealer avvia gli eseguibili prelevati dall’unità. Non è necessaria alcuna interazione dell’utente, poiché GoldenDealer è già in esecuzione,” spiega Porolli.
Nella sua ultima serie di attacchi contro un’organizzazione governativa nell’Unione Europea, GoldenJackal è passato dal set di strumenti originale a uno nuovo, altamente modulare. Questo approccio modulare si applicava non solo agli strumenti dannosi, ma anche ai ruoli degli host violati all’interno del sistema compromesso: venivano utilizzati, tra le altre cose, per raccogliere ed elaborare informazioni riservate, distribuire file, configurazioni e comandi ad altri sistemi ed esfiltrare file.
Per un’analisi più dettagliata e una spiegazione tecnica approfondita degli strumenti di GoldenJackal, consultare l’ultimo post del blog di ESET Research, “Mind the (air) gap: GoldenJackal gooses government guardrails” su WeLiveSecurity.com. Seguite ESET Research su Twitter (oggi conosciuto come X) per le ultime notizie da ESET Research.