Pesquisadores descobriram duas ferramentas sofisticadas que um grupo de hackers possivelmente ligado à Rússia usou para roubar dados de dispositivos isolados da internet, conhecidos como "air-gapped". Esses dispositivos são desconectados de redes para protegê-los contra malware. O grupo, chamado GoldenJackal, desenvolveu e usou essas ferramentas ao longo de cinco anos, com ataques documentados em 2019 e 2022.
O primeiro ataque, em 2019, foi direcionado a uma embaixada sul-asiática em Belarus. Já em 2022, a mesma ameaça atingiu uma organização do governo da União Europeia. As ferramentas usadas eram semelhantes às descritas pela Kaspersky em pesquisas anteriores. As descobertas da ESET confirmam que o grupo é altamente sofisticado, com recursos e expertise incomuns, normalmente encontrados em operações patrocinadas por estados-nação.
Entre as ferramentas, destacam-se o GoldenDealer, que infecta dispositivos via USB, o GoldenHowl, um backdoor modular, e o GoldenRobo, que coleta e exfiltra arquivos. Em ataques mais recentes, novas ferramentas, como JackalControl e JackalSteal, foram adicionadas, mostrando uma evolução significativa nos métodos do grupo.
O ataque funciona infectando um dispositivo conectado à internet e, em seguida, espalhando a infecção para dispositivos "air-gapped" via drives USB. Quando os dados são coletados, eles são transferidos para servidores controlados pelos atacantes quando o USB é reconectado à máquina original.
Em 2022, o grupo implementou um novo kit de ferramentas escrito em diversas linguagens de programação, incluindo Go e Python, adotando uma abordagem modular. Cada dispositivo infectado realizava tarefas específicas, como exfiltrar arquivos ou distribuir configurações e dados.
Ferramentas como GoldenUsbCopy e GoldenAce foram desenvolvidas para monitorar e copiar arquivos de dispositivos isolados, enquanto outros componentes, como GoldenMailer e GoldenDrive, exfiltravam dados através de e-mails ou Google Drive. Essas capacidades mostram a flexibilidade do kit, que pode ser adaptado a diferentes situações e alvos.
A pesquisa da ESET também sugere que o grupo tem interesses na Europa, enquanto Kaspersky detectou ataques no Oriente Médio. Embora nenhuma das empresas possa atribuir definitivamente o grupo a um país específico, há indícios de uma conexão com o grupo Turla, que estaria ligado à inteligência russa.
Essa descoberta é particularmente importante para organizações sensíveis, como embaixadas e governos, que precisam monitorar essas novas táticas e ferramentas, especialmente se já foram alvos de ataques anteriores, como os realizados pelo Turla ou Red October.
.%20A%20smartphone%20is%20shown%20with%20a%20suspicious%20text%20message.webp)
Nenhum comentário:
Postar um comentário
Não é preciso ser criativo. Não é preciso ser técnico. Pode discordar. Pode concordar também. Só não vale ofender, xingar, usar o espaço para outro fim se não o de comentar o post. Agradeço antecipadamente por sua contribuição!