Исследователи из ESET обнаружили серию кибератак на системы с “воздушным зазором” (” data-html=”true” data-original-title=”Air Gap” >Air Gap) правительственных организаций, проведённых APT-группировкой GoldenJackal. Кампания шпионажа велась с мая 2022 по март 2024 года с использованием специализированных инструментов для проникновения в системы, не подключённые к интернету.
Группировка GoldenJackal ведёт свою деятельность как минимум с 2019 года. В числе ранних целей хакеров значится посольство Южной Азии в Беларуси, где они впервые использовали свои уникальные инструменты, направленные на изолированные системы. Эта кампания стала одним из первых зафиксированных примеров подобных атак, а сами инструменты впервые задокументированы публично.
Основные компоненты использованных инструментов включают:
- GoldenDealer – программа для передачи вредоносных файлов через USB-носители;
- GoldenHowl – модульный бэкдор с функциями сбора и эксфильтрации данных;
- GoldenRobo – инструмент для сбора и передачи файлов с заражённых систем.
В ходе более поздних атак на правительственные организации Европейского Союза GoldenJackal усовершенствовала свои инструменты, сделав их модульными. Это позволило эффективно настраивать сбор и передачу данных, а также управлять конфигурациями на заражённых системах.
Исследователи отметили, что часть заражённых систем использовалась для передачи файлов, другие служили локальными серверами для получения и распределения информации. Целью атак становились системы с конфиденциальной информацией, особенно те, что не имели выхода в интернет.
Один из возможных сценариев атаки GoldenJackal предполагает заражение USB-накопителя на внешнем компьютере и его последующее подключение к изолированной системе сотрудником, не подозревающим об угрозе. Вредоносное ПО, установленное на устройстве, собирает данные, а затем возвращает их хакерам при повторном подключении к системе с доступом к интернету.
GoldenJackal сосредоточена на правительственных и дипломатических структурах в Европе, Южной Азии и на Ближнем Востоке. Их атаки нацелены на кражу конфиденциальной информации, преимущественно с высокозащищённых машин.
Хотя ESET связала инструменты с GoldenJackal, происхождение самой группировки остаётся неясным. Использование USB-устройств для проникновения в изолированные системы подчёркивает опасность подобных атак, способных обходить даже самые строгие меры безопасности.
Данный случай с атаками на системы с воздушным зазором демонстрирует, что даже самые защищённые сети могут быть уязвимы перед изощрёнными методами проникновения. Зависимость от физического оборудования, такого как USB-устройства, и тонкость подхода злоумышленников подчёркивают важность усиленной кибербезопасности и осведомлённости персонала, ведь даже малейшая ошибка может обернуться масштабной утечкой данных.