Il testo che segue proviene da un comunicato stampa e non riflette in alcun modo l’opinione della redazione.
• In un altro attacco, GoldenJackal ha utilizzato, a più riprese, dal maggio 2022 al marzo 2024, strumenti altamente modulari contro l’organizzazione governativa di un paese dell’UE.
• Questi strumenti forniscono a GoldenJackal ampie capacità di compromettere e persistere nelle reti prese di mira. I sistemi vittima svolgono quindi diversi ruoli nella rete locale, dalla raccolta di informazioni interessanti e riservate, all’elaborazione delle informazioni, alla distribuzione di file, configurazioni e comandi ad altri sistemi o all’esfiltrazione di file.
• L’obiettivo finale di GoldenJackal è probabilmente il furto di informazioni riservate, in particolare da macchine di alto livello intenzionalmente isolate da Internet.
MONTREAL, BRATISLAVA, 7 ottobre 2024 —ESET Research ha scoperto una serie di attacchi avvenuti in Europa tra maggio 2022 e marzo 2024, durante i quali gli aggressori hanno utilizzato una serie di strumenti in grado di prendere di mira sistemi isolati di “un’organizzazione governativa di un paese dell’UE” Paese. ESET attribuisce la campagna a GoldenJackal, un gruppo di spionaggio informatico APT che prende di mira entità governative e diplomatiche. Analizzando il set di strumenti implementato, ESET ha identificato un precedente attacco GoldenJackal, nel 2019, contro un’ambasciata dell’Asia meridionale in Bielorussia. Ha preso di mira i sistemi isolati dell’ambasciata con strumenti personalizzati. L’obiettivo finale di GoldenJackal è molto probabilmente il furto di informazioni riservate e sensibili, in particolare da macchine note che potrebbero non essere connesse a Internet. ESET Research ha presentato questi risultati alla conferenza Virus Bulletin 2024.
Per ridurre il rischio di compromissione, le reti altamente sensibili vengono spesso isolate dalle altre reti. Le organizzazioni in genere isolano i loro sistemi più preziosi, come i sistemi di voto e di controllo industriale che gestiscono le reti elettriche. In genere, queste reti interessano gli aggressori. Compromettere una rete isolata richiede molte più risorse che hackerare un sistema connesso a Internet, il che significa che i sistemi progettati per attaccare reti isolate sono stati finora sviluppati esclusivamente da gruppi APT. Lo scopo di questi attacchi è sempre lo spionaggio.
“Nel maggio 2022 abbiamo scoperto strumenti che non potevamo attribuire a nessun gruppo APT. Ma quando gli aggressori hanno utilizzato uno strumento simile a uno già documentato, siamo stati in grado di scavare più a fondo e scoprire una connessione tra il set di strumenti documentato pubblicamente di GoldenJackal e questo nuovo arrivato. Estrapolando, abbiamo identificato un attacco precedente in cui era stato implementato l’intero set di strumenti documentati, così come strumenti più vecchi, anche con capacità di colpire sistemi isolati”, spiega il ricercatore ESET Matías Porolli, che ha analizzato gli strumenti GoldenJackal.
GoldenJackal prende di mira enti governativi in Europa, Medio Oriente e Asia meridionale. Nell’agosto e nel settembre 2019 e di nuovo nel luglio 2021, ESET ha rilevato gli strumenti GoldenJackal in un’ambasciata dell’Asia meridionale in Bielorussia. Più recentemente, secondo la telemetria ESET, un’altra organizzazione governativa dell’UE è stata presa di mira in varie occasioni da maggio 2022 a marzo 2024.
A causa della sofisticatezza richiesta, è abbastanza insolito che in cinque anni GoldenJackal sia riuscito a implementare non uno, ma due set di strumenti separati per compromettere sistemi isolati. Ciò dimostra l’ingegnosità del gruppo. Gli attacchi contro un’ambasciata dell’Asia meridionale in Bielorussia hanno utilizzato strumenti personalizzati mai visti prima. La campagna aveva tre componenti principali: GoldenDealer per fornire eseguibili al sistema isolato tramite monitoraggio USB; GoldenHowl, una backdoor modulare con varie funzionalità e GoldenRobo, per raccogliere ed esfiltrare file.
“Quando una vittima inserisce un’unità USB compromessa in un sistema isolato e fa clic su un componente con l’icona di una cartella ma che in realtà è un eseguibile dannoso, GoldenDealer viene installato ed eseguito e inizia a raccogliere informazioni sul sistema isolato e a memorizzarle sull’USB bastone. Quando la chiavetta viene nuovamente inserita nel PC connesso a Internet, GoldenDealer recupera le informazioni sul PC isolato dalla chiavetta USB e le invia al server C&C. Quando la chiave viene nuovamente inserita nel PC, GoldenDealer recupera gli eseguibili dalla chiave e li esegue. Non è necessaria alcuna interazione da parte dell’utente perché GoldenDealer è già in esecuzione”, spiega Porolli.
Nella sua ultima serie di attacchi contro un’organizzazione governativa dell’UE, GoldenJackal ha abbandonato il suo set di strumenti originale in favore di un nuovo set altamente modulare. Questo approccio modulare si applicava non solo agli strumenti dannosi, ma anche ai ruoli degli host vittime all’interno del sistema compromesso. Questi host venivano utilizzati, tra le altre cose, per raccogliere ed elaborare informazioni preziose e riservate, per distribuire file, configurazioni e comandi ad altri sistemi e per esfiltrare file.
Per uno sguardo più approfondito e un’analisi tecnica degli strumenti di GoldenJackal, vedere l’ultimo blog di ESET Research “Mind the (air) gap: GoldenJackal goes guardrails governativi” su www.welivesecurity.com. Segui ESET Research anche su Twitter (oggi noto come X) per le ultime notizie da ESET Research.
INFORMAZIONI SU ESET ESET® fornisce sicurezza leader del settore per prevenire gli attacchi prima che si verifichino. Grazie alla potenza dell’intelligenza artificiale e delle competenze umane, ESET mantiene un passo avanti rispetto alle minacce note ed emergenti, proteggendo i dispositivi mobili, le sue soluzioni e servizi basati sull’intelligenza artificiale e focalizzati sul cloud sono efficaci e facili da usare. La tecnologia ESET include funzionalità di rilevamento e risposta efficaci, crittografia ultra sicura e autenticazione a più fattori. Con una difesa in tempo reale 24 ore su 24, 7 giorni su 7 e un forte supporto locale, ESET mantiene gli utenti e le aziende al sicuro senza interruzioni. Un panorama digitale in continua evoluzione richiede un approccio progressista alla sicurezza: ESET dispone di una ricerca di livello mondiale e di una potente intelligence sulle minacce, supportata da centri di ricerca e sviluppo e da una rete globale di partner. Maggiori informazioni: www.eset.com o LinkedIn, Facebook, X e https://www.eset.com/be-fr/.
