Експерти поділилися інформацією про методи, якими кіберзлочинці намагаються атакувати державні установи в Європі з метою крадіжки важливої інформації.
Зокрема, хакери з групи GoldenJackal орієнтуються на обладнання, яке потенційно може не мати доступу до Інтернету.
Фахівці компанії ESET, визнаного лідера в сфері кібербезпеки, зафіксували серію атак, що мали місце в Європі в період з травня 2022 року по березень 2024 року. У цих випадках зловмисники застосовували спеціалізований інструментарій для нападів на ізольовані системи державних установ країн ЄС. Дослідження ESET вказують на те, що ці атаки пов'язані з кібершпигунською APT-групою під назвою GoldenJackal, яка намагається отримати доступ до державних та дипломатичних органів, зокрема, в європейських країнах, а також на Близькому Сході та в Південній Азії.
У серпні та вересні 2019 року, а також знову в липні 2021 року, експерти ESET виявили наявність інструментів GoldenJackal в посольстві однієї з країн Південної Азії, розташованому в Білорусі. Ці інструменти націлювались на ізольовані системи, і, ймовірно, основною метою GoldenJackal є викрадення конфіденційних даних, зокрема з пристроїв, що не мають доступу до Інтернету.
Часто важливі мережі фізично ізолюють від інших, щоб зменшити ризик їх компрометації. Зазвичай організації обирають ізоляцію для своїх найцінніших активів, таких як системи голосування або промислові управлінські системи, які функціонують в електричних мережах. Саме ці мережі викликають інтерес у кіберзловмисників. Компрометація ізольованої мережі вимагає значно більше ресурсів у порівнянні зі злом системи, яка підключена до Інтернету, що свідчить про те, що методи атак на такі мережі переважно розроблялися лише APT-групами. Основною метою подібних кібератак завжди залишається шпигунство.
Враховуючи необхідний рівень складності, досить дивно, що за п’ять років GoldenJackal вдалося створити не один, а два окремі комплекти інструментів для компрометації ізольованих систем. Під час атаки на посольство південноазійської країни в Білорусі були використані спеціалізовані інструменти, які експерти ESET виявили лише у цьому конкретному випадку. Кіберзлочинці застосували три основні елементи: GoldenDealer для доставки виконуваних файлів в ізольовану систему через моніторинг USB-пристроїв, GoldenHowl як модульний бекдор з різноманітними функціями та GoldenRobo для збору і перехоплення даних.
Коли жертва підключає заражений USB-накопичувач до ізольованої системи і клацає на елемент, який виглядає як папка, але насправді є шкідливим виконуваним файлом, загроза GoldenDealer активується. Вона починає збирати дані та зберігати їх на USB-накопичувачі. Після того як накопичувач знову підключається до комп'ютера, що має доступ до Інтернету, GoldenDealer передає інформацію про ізольовану систему на командний сервер. У відповідь сервер надсилає один або декілька виконуваних файлів для запуску на ізольованому ПК. Зрештою, коли накопичувач знову вставляється в ізольовану машину, GoldenDealer використовує виконувані файли з нього для їх активації. Взаємодія з користувачем не потрібна, оскільки GoldenDealer вже запущено, - коментує дослідник ESET Матіас Пороллі.
Щоб уникнути складних атак і оперативно виявляти шкідливу активність, необхідно забезпечити надійний кіберзахист для організацій. Одним із ефективних варіантів є комплексне рішення ESET PROTECT Elite, яке допомагає запобігати загрозам, виявляти їх та швидко реагувати в режимі XDR.
ESET — це фахівець у захисті від кіберзлочинності та цифрових загроз, міжнародний розробник інноваційних рішень у сфері ІТ-безпеки та провідний постачальник технологій для виявлення загроз. Заснована в 1992 році, компанія ESET має розгалужену мережу партнерів і представництва у понад 180 країнах по всьому світу. Головний офіс розташований у Братиславі, Словаччина.
