A equipe de pesquisa da ESET descobriu uma série de ataques a uma órgão governamental na Europa, utilizando ferramentas capazes de atacar sistemas com air gap. A campanha, atribuída ao GoldenJackal, um grupo APT de ciberespionagem direcionado a entidades governamentais e diplomáticas, ocorreu entre maio de 2022 e março de 2024. Ao analisar o conjunto de ferramentas implantadas pelo grupo, identificamos um ataque anterior realizado pelo GoldenJackal em 2019, contra uma embaixada do Sul da Ásia na Bielorrússia, que novamente visou os sistemas de proteção aérea da embaixada com ferramentas personalizadas.

Em maio de 2022, descobrimos um conjunto de ferramentas que não conseguimos atribuir a nenhum grupo APT. No entanto, quando os atacantes utilizaram uma ferramenta semelhante a uma das documentadas publicamente pela Kaspersky, conseguimos aprofundar nossa investigação e encontrar uma conexão entre o conjunto de ferramentas publicamente documentado do GoldenJackal e esse novo conjunto.

Com base nas informações coletadas, conseguimos identificar um ataque anterior que utilizou o conjunto de ferramentas documentado publicamente, bem como um conjunto de ferramentas mais antigo que também possui capacidade para atacar sistemas protegidos por air gap.

Perfil do GoldenJackal

O GoldenJackal é um grupo APT ativo desde pelo menos 2019, com foco em órgãos governamentais e diplomáticas na Europa, Oriente Médio e Sul da Ásia. O grupo é pouco conhecido e foi descrito publicamente apenas em 2023 pela Kaspersky. O conjunto de ferramentas conhecidas do grupo inclui vários implantes escritos em C#: JackalControl, JackalSteal, JackalWorm, JackalPerInfo e JackalScreenWatcher, todos utilizados para atividades de espionagem.

Vitimologia

O GoldenJackal tem como alvo órgãos governamentais na Europa, Oriente Médio e Sul da Ásia. Detectamos ferramentas do GoldenJackal em uma embaixada do Sul da Ásia na Bielorrússia em agosto e setembro de 2019, e novamente em julho de 2021.

A Kaspersky informou sobre um número limitado de ataques contra entidades governamentais e diplomáticas no Oriente Médio e no Sul da Ásia, iniciando em 2020. Mais recentemente, de acordo com a telemetria da ESET, uma organização governamental da União Europeia foi atacada repetidamente entre maio de 2022 e março de 2024.

Atribuição

Todas as campanhas descritas nesta análise implementaram, em algum momento, pelo menos uma das ferramentas atribuídas ao grupo APT GoldenJackal pela Kaspersky. Assim como no caso do relatório da Kaspersky, não podemos atribuir as atividades do GoldenJackal a nenhum Estado-nação específico. No entanto, há uma pista que pode indicar a origem dos ataques: no malware GoldenHowl, o protocolo de C&C é denominado transport_http, uma expressão tipicamente utilizada por Turla (veja nosso relatório ComRat v4) e MoustachedBouncer. Isso pode indicar que os desenvolvedores do GoldenHowl têm como língua nativa o russo.

Violação dos Sistemas Air-Gapped

Para minimizar o risco de comprometimento, redes altamente sensíveis costumam ser isoladas, ou seja, desconectadas de outras redes. Normalmente, as organizações isolam seus sistemas mais valiosos, como sistemas de votação e sistemas de controle industrial que gerenciam redes elétricas. Essas são frequentemente as redes que mais despertam o interesse dos atacantes.

Como afirmamos em um relatório anterior intitulado "Jumping the Air Gap: 15 Years of Nation-State Efforts", comprometer uma rede com air gap exige muitos mais recursos do que vulnerar um sistema conectado à internet. Isso significa que os métodos projetados para atacar redes isoladas foram desenvolvidos até agora exclusivamente por grupos APT. O objetivo desses ataques é sempre o espionagem, muitas vezes com um toque de sabotagem.

Dada a sofisticação exigida, é bastante incomum que, em um período de cinco anos, o GoldenJackal tenha conseguido desenvolver e implantar não apenas um, mas dois conjuntos distintos de ferramentas projetadas para comprometer sistemas protegidos por air gap. Isso evidencia a inventividade do grupo. Os ataques a uma embaixada do Sul da Ásia na Bielorrússia utilizaram ferramentas personalizadas que foram observadas apenas nesse caso específico. A campanha consistiu em três componentes principais: GoldenDealer, responsável por enviar executáveis ao sistema interceptado via USB; GoldenHowl, um backdoor modular com diversas funcionalidades; e GoldenRobo, um coletor e filtrador de arquivos.

Na mais recente série de ataques contra uma organização governamental na Europa, o GoldenJackal transitou do conjunto de ferramentas original para um novo, altamente modular. Esse enfoque modular não se limitou apenas ao design das ferramentas maliciosas (como no caso do GoldenHowl), mas também se estendeu às suas funcionalidades. As ferramentas eram utilizadas, entre outras coisas, para coletar e processar informações relevantes, distribuir arquivos, configurações e comandos a outros sistemas, além de exfiltrar dados.

Confira a análise técnica completa feita pela equipe de pesquisa da ESET na publicação em inglês.