Pesquisadores descobriram dois conjuntos de ferramentas sofisticadas que um grupo de hacking de um estado-nação—possivelmente da Rússia—usou para roubar dados sensíveis armazenados em dispositivos isolados, ou seja, aqueles que estão deliberadamente isolados da internet ou de outras redes para protegê-los de malware.
Um dos conjuntos de ferramentas personalizadas foi usado a partir de 2019 contra uma embaixada do Sul da Ásia na Bielorrússia. Um conjunto de ferramentas amplamente diferente criado pelo mesmo grupo de ameaça infectou uma organização governamental da União Europeia três anos depois. Pesquisadores da ESET, a empresa de segurança que descobriu os kits de ferramentas, disseram que alguns dos componentes em ambos eram idênticos aos que a empresa de segurança Kaspersky descreveu em uma pesquisa publicada no ano passado e atribuída a um grupo desconhecido, rastreado como GoldenJackal, trabalhando para um estado-nação. Com base na sobreposição, a ESET concluiu que o mesmo grupo está por trás de todos os ataques observados por ambas as empresas.
Muito Incomum
A prática de isolar sistemas é tipicamente reservada para as redes ou dispositivos mais sensíveis conectados a elas, como aqueles usados em sistemas de votação, controle industrial, manufatura e geração de energia. Uma série de malwares usados em hacking de espionagem nos últimos 15 anos demonstram que a isolação não é uma proteção infalível. No entanto, isso força grupos de ameaça a gastar recursos significativos que provavelmente só são obtidos por estados-nação com superior conhecimento técnico e orçamentos ilimitados. A descoberta da ESET coloca a GoldenJackal em uma coleção altamente exclusiva de grupos de ameaça.
“Com o nível de sofisticação necessário, é bastante incomum que em cinco anos, a GoldenJackal conseguiu construir e implantar não uma, mas duas ferramentas separadas projetadas para comprometer sistemas isolados,” escreveu o pesquisador da ESET, Matías Porolli, no relatório de terça-feira. “Isso fala sobre a engenhosidade do grupo.”
A evolução do kit de 2019 e o de três anos depois sublinha uma crescente sofisticação dos desenvolvedores da GoldenJackal. A primeira geração forneceu um conjunto completo de capacidades, incluindo:
GoldenDealer, um componente que entrega executáveis maliciosos para sistemas isolados através de drives USB
GoldenHowl, um backdoor que contém vários módulos para uma mistura de capacidades maliciosas
GoldenRobo, um coletor e exfiltrador de arquivos
Dentro de algumas semanas após a implantação do kit em 2019, a ESET disse que a GoldenJackal começou a usar outras ferramentas nos mesmos dispositivos comprometidos. As ferramentas mais novas, que a Kaspersky documentou em sua pesquisa de 2023, incluíam:
Um backdoor rastreado sob o nome JackalControl
JackalSteal, um coletor e exfiltrador de arquivos
JackalWorm, usado para propagar outros componentes JackalControl e maliciosos através de drives USB
A GoldenJackal, disse a ESET, continuou usando essas ferramentas até janeiro deste ano. O fluxo básico do ataque é, primeiro, infectar um dispositivo conectado à internet através de um meio que a ESET e a Kaspersky não conseguiram determinar. Em seguida, o computador infectado infecta quaisquer drives externos que sejam inseridos. Quando o drive infectado é conectado a um sistema isolado, ele coleta e armazena dados de interesse. Por último, quando o drive é inserido no dispositivo conectado à internet, os dados são transferidos para um servidor controlado pelo atacante.
Construindo uma Armadilha Melhor
No ataque de 2022 à organização governamental da União Europeia, a GoldenJackal começou a usar um novo kit de ferramentas personalizado. Escrito em várias linguagens de programação, incluindo Go e Python, a versão mais nova adotou uma abordagem muito mais especializada. Ela designou diferentes tarefas para diferentes tipos de dispositivos infectados e mobilizou uma gama muito maior de módulos, que podiam ser combinados de acordo com os objetos de ataque para diferentes infecções.
“Nos ataques observados, a GoldenJackal começou a usar uma abordagem altamente modular, utilizando vários componentes para realizar diferentes tarefas,” escreveu Porolli da ESET. “Alguns hosts foram abusados para exfiltrar arquivos, outros foram usados como servidores locais para receber e distribuir arquivos ou arquivos de configuração em estágio, e outros foram considerados interessantes para coleta de arquivos, para fins de espionagem.”
A figura abaixo classifica alguns dos componentes especificamente:
GoldenUsbCopy, que monitora a inserção de drives USB em dispositivos isolados e, quando encontrado, os copia para um contêiner criptografado armazenado no disco
GoldenUsbGo, que parece ser uma versão atualizada do GoldenUSBCopy
GoldenAce, uma ferramenta de distribuição para propagar outros executáveis maliciosos e recuperar arquivos armazenados em drives USB
Servidor HTTP, um servidor HTTP cuja função precisa não está bem compreendida
GoldenBlacklist, que baixa um arquivo criptografado de um servidor local, filtra mensagens de email recebidas em busca de mensagens de interesse e as coloca em um arquivo para que algum outro componente exfiltre
GoldenPyBlacklist, uma implementação em Python do GoldenBlacklist
GoldenMailer, que, quando conectado a um dispositivo da internet, exfiltra arquivos de interesse previamente roubados de um dispositivo isolado. A exfiltração ocorre anexando-os a emails enviados para um endereço de email controlado pelo atacante
GoldenDrive, uma ferramenta de exfiltração separada que, ao contrário do GoldenMailer, carrega arquivos de interesse para o Google Drive.
O novo kit de ferramentas descoberto é composto por muitos blocos de construção diferentes, escritos em várias linguagens e capacidades. O objetivo geral parece ser aumentar a flexibilidade e a resiliência no caso de um módulo ser detectado pelo alvo.
“O objetivo deles é obter dados difíceis de obter de sistemas isolados e permanecer o mais discreto possível,” disse Costin Raiu, um pesquisador que trabalhou na Kaspersky na época em que estava pesquisando a GoldenJackal, em uma entrevista. “Múltiplos mecanismos de exfiltração indicam um kit de ferramentas muito flexível que pode acomodar todos os tipos de situações. Essas muitas ferramentas indicam que é uma estrutura altamente personalizável onde eles implantam exatamente o que precisam em vez de um malware multiuso que pode fazer qualquer coisa.”
Outras novas informações oferecidas pela pesquisa da ESET são o interesse da GoldenJackal em alvos localizados na Europa. Pesquisadores da Kaspersky detectaram o grupo mirando países do Oriente Médio.
Com base nas informações disponíveis para a Kaspersky, os pesquisadores da empresa não conseguiram atribuir a GoldenJackal a nenhum país específico. A ESET também não conseguiu identificar definitivamente o país, mas encontrou uma dica de que o grupo de ameaça pode ter uma ligação com a Turla, um potente grupo de hacking que trabalha em nome da agência de inteligência FSB da Rússia. A ligação vem na forma de um protocolo de comando e controle no GoldenHowl referido como transport_http. A mesma expressão é encontrada em malware conhecido por se originar com a Turla.
Raiu disse que a abordagem altamente modular também é semelhante ao Red October, uma plataforma de espionagem elaborada descoberta em 2013 que visava centenas de organizações diplomáticas, governamentais e científicas em pelo menos 39 países, incluindo a Federação Russa, Irã e Estados Unidos.
Embora grande parte do relatório de terça-feira contenha análises técnicas que provavelmente serão muito avançadas para muitas pessoas entenderem, ele fornece novas informações importantes que aprofundam os conhecimentos sobre malware projetado para pular barreiras de isolamento e as táticas, técnicas e procedimentos de quem os utiliza. O relatório também será útil para pessoas responsáveis por proteger os tipos de organizações mais frequentemente visadas por grupos de estados-nação.
“Eu diria que isso é principalmente interessante para pessoas de segurança que trabalham em embaixadas e CERTs governamentais,” disse Raiu. “Eles precisam verificar essas TTPs e ficar de olho nelas no futuro. Se você foi anteriormente uma vítima da Turla ou do Red October, eu ficaria atento a isso.”