ESET-onderzoekers hebben een reeks aanvallen ontdekt die plaatsvonden in Europa van mei 2022 tot maart 2024, waarbij de aanvallers een toolset gebruikten die in staat was om air-gapped systemen te targeten, in een overheidsorganisatie van een land van de Europese Unie.
ESET wijst de campagne toe aan GoldenJackal, een cyberspionage APT-groep die zich richt op overheids- en diplomatieke entiteiten. Het bedrijf ontdekte een aanval die GoldenJackal eerder uitvoerde, in 2019, tegen een Zuid-Aziatische ambassade in Wit-Rusland. Deze was gericht op de air-gapped systemen van de ambassade met aangepaste tools. Het uiteindelijke doel van GoldenJackal is zeer waarschijnlijk het stelen van vertrouwelijke en zeer gevoelige informatie, vooral van high-profile machines die mogelijk niet zijn verbonden met het internet. ESET Research presenteerde hun bevindingen op de 2024 Virus Bulletin conferentie.
Om het risico op compromittering te minimaliseren, worden zeer gevoelige netwerken vaak air-gapped – geïsoleerd van andere netwerken. Meestal zullen organisaties hun meest waardevolle systemen, zoals stemsystemen en industriële besturingssystemen die stroomnetten beheren, air-gappen. “Dit zijn vaak precies de netwerken die interessant zijn voor aanvallers,”schrijft ESET in een bericht. “Het compromitteren van een air-gapped netwerk kost veel meer middelen dan het kraken van een systeem dat aan het internet verbonden is, wat betekent dat frameworks die zijn ontworpen om air-gapped netwerken aan te vallen tot nu toe uitsluitend zijn ontwikkeld door APT- groepen. Het doel van dergelijke aanvallen is altijd spionage.”
Twee toolsets
GoldenJackal heeft het gemunt op overheidsinstanties in Europa, het Midden-Oosten en Zuid-Azië. Met het vereiste niveau van geavanceerdheid is het vrij ongebruikelijk dat GoldenJackal er in vijf jaar in is geslaagd om niet één, maar twee afzonderlijke toolsets te implementeren die zijn ontworpen om luchtafgesloten systemen te compromitteren. Dit toont volgens de onderzoekers de veelzijdigheid van de groep aan.
“Bij de aanvallen op een Zuid-Aziatische ambassade in Wit-Rusland werd gebruik gemaakt van aangepaste tools die we tot nu toe alleen in dit specifieke geval hebben gezien. De campagne gebruikte drie hoofdcomponenten: GoldenDealer om uitvoerbare bestanden te leveren aan het in de lucht afgetapte systeem via USB-monitoring; GoldenHowl, een modulaire backdoor met verschillende functionaliteiten; en GoldenRobo, een bestandsverzamelaar en exfiltrator.”
USB-stick
Besmetting kan uiteraard niet via het netwerk, maar vindt plaats via andere datadragers. “Wanneer een slachtoffer een gecompromitteerde USB-stick in een air-gapped systeem steekt en op een onderdeel klikt dat het pictogram van een map heeft, maar eigenlijk een kwaadaardig uitvoerbaar bestand is, dan wordt GoldenDealer geïnstalleerd en uitgevoerd, waarbij het begint met het verzamelen van informatie over het air-gapped systeem en deze opslaat op de USB-stick. Wanneer de USB-stick weer in de met internet verbonden pc wordt gestoken, haalt GoldenDealer de informatie over de via de air-gapped computer van de USB-stick en stuurt deze naar de C&C-server en stuurt deze naar de C&C-server. De server antwoordt met één of meer uitvoerbare bestanden die moeten worden uitgevoerd op de geïsoleerde pc. Dat gebeurt wanneer de drive weer in de air-gapped p wordt gestoken.”
In de laatste reeks aanvallen tegen een overheidsorganisatie in de Europese Unie stapte GoldenJackal over van de oorspronkelijke toolset naar een nieuwe, zeer modulaire toolset. Deze modulaire aanpak gold niet alleen voor de kwaadaardige tools, maar ook voor de rollen van de getroffen hosts binnen het gecompromitteerde systeem: ze werden onder andere gebruikt om interessante, waarschijnlijk vertrouwelijke informatie te verzamelen en te verwerken, om bestanden, configuraties en commando’s naar andere systemen te distribueren en om bestanden te exfiltreren.
