ESET araştırmacıları, Mayıs 2022’den Mart 2024’e kadar Avrupa’da gerçekleşen ve saldırganların bir Avrupa Birliği ülkesinin devlet kuruluşunda hava boşluklu sistemleri hedef alabilen bir araç seti kullandığı bir dizi saldırı keşfetti.
Siber casusluk kampanyası izole ağlardan hassas verileri çalmayı amaçlıyor
ESET, kampanyayı hükümeti ve diplomatik kurumları hedef alan bir siber casusluk APT grubu olan GoldenJackal’a bağlıyor. ESET, grup tarafından kullanılan araç setini analiz ederek GoldenJackal’ın 2019’da Belarus’taki bir Güney Asya büyükelçiliğine karşı özel araçlarla elçiliğin hava boşluklu sistemlerini hedef alan bir saldırı düzenlediğini tespit etti.
GoldenJackal’ın nihai hedefi, özellikle internete bağlı olmayan yüksek profilli makinelerden gizli ve son derece hassas bilgileri çalmak olabilir.
Güvenliği ihlal etme riskini en aza indirmek için yüksek hassasiyete sahip ağlar genellikle hava boşlukludur ve diğer ağlardan izole edilir. Genellikle kuruluşlar, oylama sistemleri ve elektrik şebekelerini çalıştıran endüstriyel kontrol sistemleri gibi en değerli sistemlerinde hava boşluğu bırakacaktır. Bunlar genellikle saldırganların ilgisini çeken ağlardır. Hava boşluklu bir ağın tehlikeye atılması, internete bağlı bir sistemin ihlal edilmesinden çok daha fazla kaynak yoğunluğu gerektirir; bu, hava boşluklu ağlara saldırmak için tasarlanan çerçevelerin şimdiye kadar yalnızca APT grupları tarafından geliştirildiği anlamına gelir. Bu tür saldırıların amacı her zaman casusluktur.
“Mayıs 2022’de hiçbir APT grubuna atfedemeyeceğimiz bir araç seti keşfettik. Ancak saldırganlar halihazırda kamuya açık olarak belgelenmiş olanlara benzer bir araç kullandıklarında, daha derine inip GoldenJackal’ın kamuya açık olarak belgelenen araç seti ile bu yeni araç arasında bir bağlantı bulmayı başardık. GoldenJackal’ın araç setini analiz eden ESET araştırmacısı Matías Porolli, “Bundan yola çıkarak, kamuya açık olarak belgelenen araç setinin konuşlandırıldığı daha önceki bir saldırının yanı sıra, hava boşluklu sistemleri hedefleme yetenekleri olan eski bir araç setini de tespit etmeyi başardık” diyor.
GoldenJackal Avrupa, Orta Doğu ve Güney Asya’daki devlet kuruluşlarını hedef alıyor
GoldenJackal, Avrupa, Orta Doğu ve Güney Asya’daki devlet kuruluşlarını hedef alıyor. ESET, GoldenJackal araçlarını Ağustos, Eylül 2019 ve Temmuz 2021’de Belarus’taki bir Güney Asya büyükelçiliğinde tespit etti. Daha yakın zamanda, ESET telemetrisine göre, Avrupa’daki başka bir devlet kuruluşu Mayıs 2022’den Mart 2024’e kadar defalarca hedef alındı.
Gerekli olan karmaşıklık düzeyi göz önüne alındığında, GoldenJackal’ın beş yıl içinde hava boşluklu sistemleri tehlikeye atmak için tasarlanmış bir değil iki ayrı araç setini yerleştirmeyi başarması oldukça alışılmadık bir durumdur. Bu grubun becerikliliğini gösteriyor. Belarus’taki Güney Asya büyükelçiliğine yönelik saldırılarda, şu ana kadar yalnızca bu özel örnekte gördüğümüz özel araçlar kullanıldı. Kampanyada üç ana bileşen kullanıldı: USB izleme yoluyla yürütülebilir dosyaları hava boşluklu sisteme iletmek için GoldenDealer; GoldenHowl, çeşitli işlevlere sahip modüler bir arka kapı; ve bir dosya toplayıcı ve sızıntı aracı olan GoldenRobo.
“Bir kurban, güvenliği ihlal edilmiş bir USB sürücüsünü hava boşluklu bir sisteme yerleştirdiğinde ve bir klasör simgesine sahip olan ancak aslında kötü amaçlı bir yürütülebilir dosya olan bir bileşene tıkladığında, GoldenDealer kurulup çalıştırılır ve hava boşluğu hakkında bilgi toplamaya başlar. sisteminize aktarın ve USB sürücüsüne kaydedin. Sürücü internet bağlantılı PC’ye tekrar takıldığında, GoldenDealer hava boşluklu PC hakkındaki bilgileri USB sürücüsünden alır ve C&C sunucusuna gönderir. Sunucu, hava boşluklu bilgisayarda çalıştırılacak bir veya daha fazla yürütülebilir dosyayla yanıt verir. Son olarak, sürücü hava boşluklu bilgisayara tekrar takıldığında, GoldenDealer yürütülebilir dosyaları sürücüden alır ve çalıştırır. GoldenDealer zaten çalıştığı için kullanıcı etkileşimine gerek yok,” diye açıklıyor Porolli.
GoldenJackal, Avrupa Birliği’ndeki bir hükümet kuruluşuna yönelik son saldırı serisinde, orijinal araç setinden yeni, son derece modüler bir araç setine geçti. Bu modüler yaklaşım yalnızca kötü amaçlı araçlara değil, aynı zamanda ele geçirilen sistemdeki mağdur ana bilgisayarların rollerine de uygulandı: bunlar, diğer şeylerin yanı sıra ilginç, muhtemelen gizli bilgileri toplamak ve işlemek, dosyaları, yapılandırmaları ve komutları dağıtmak için kullanıldı. diğer sistemlere ve dosyaları sızdırmaya.