El grupo APT GoldenJackal ataca con éxito objetivos en Europa que están bien protegidos por brechas de aire. El malware se propagó a través de memorias USB a sistemas que estaban completamente aislados de Internet. Probablemente los atacantes querían obtener datos muy confidenciales.
El misterioso grupo APT GoldenJackal ha atacado ordenadores pertenecientes a objetivos de alto perfil en Europa. Entre agosto de 2019 y marzo de 2024, los piratas informáticos atacaron repetidamente una embajada del sur de Asia en Bielorrusia y una organización gubernamental de la UE. Los investigadores del fabricante de seguridad informática ESET han descubierto los ataques. Los sistemas afectados fueron completamente aislados de Internet para evitar ciberataques. Los profesionales de TI se refieren a esto como un espacio de aire. Para eludir esta medida de seguridad, los piratas informáticos adoptaron un enfoque inteligente: utilizaron malware que se propagaba a través de memorias USB y funcionaba en gran medida sin acceso a Internet. Lo más probable es que el objetivo fuera información confidencial y muy sensible contenida en dispositivos infectados.
"Cuanto más seguros están los datos, más interesantes se vuelven para los ciberdelincuentes", afirma el investigador de ESET Matías Porolli, que examinó el malware. “Es extremadamente difícil para los delincuentes obtener información si no pueden acceder a ella a través de Internet. Sin embargo, los ataques actuales demuestran que ni siquiera los ordenadores aislados son una solución milagrosa contra los piratas informáticos: una memoria USB contaminada es suficiente para poner en peligro datos confidenciales.
No se sabe mucho sobre GoldenJackal excepto que el grupo ha estado activo desde 2019 y se especializa en espiar instalaciones diplomáticas en Europa, Medio Oriente y el sur de Asia.
Así lograron los hackers de GoldenJackal superar el foso virtual
Los piratas informáticos infectaron un PC conectado a Internet con un gusano informático desconocido: "GoldenDealer". Este es un malware que puede instalar archivos maliciosos adicionales en computadoras detrás de espacios de aire. Se desconoce exactamente cómo se produce la primera infección con estos componentes. Cada vez que se conecta una unidad USB (por ejemplo, una memoria USB) a un ordenador infectado, el gusano se copia a sí mismo y al componente GoldenDealer en él.
Si un usuario conecta esta memoria USB a una computadora detrás de un espacio de aire, verá un archivo con el ícono de una carpeta de archivos normal. Si hacen clic en él para abrirlo, sin saberlo ejecutan GoldenDealer e instalan el programa. Luego, esto recopila información sobre el sistema encapsulado y la guarda en la unidad USB. Si luego se inserta el dispositivo en el PC con acceso a Internet, GoldenDealer envía la información a un servidor pirata. Este responde con uno o más archivos para ser ejecutados en la PC espiada. Tan pronto como el usuario vuelve a conectar el dispositivo a la PC, GoldenDealer ejecuta este comando. No se requiere más interacción del usuario.
Malware personalizado
GoldenJackal ha utilizado dos variantes diferentes de malware para comprometer sistemas detrás de brechas de aire durante los últimos cinco años.
Los ataques a la embajada del sur de Asia en Bielorrusia en 2019 utilizaron malware hecho a medida que, además de GoldenDealer, instalaba otros componentes en los ordenadores objetivo: GoldenHowl, una puerta trasera con varias funciones, y GoldenRobo, un recolector y exfiltrador de archivos.
En la reciente serie de ataques contra la organización gubernamental de la Unión Europea, GoldenJackal pasó a utilizar un malware altamente modular. Este enfoque se aplicó no sólo a los componentes, sino también a las funciones de los hosts afectados dentro del sistema comprometido: se utilizaron para recopilar y procesar información interesante, distribuir archivos, configuraciones y comandos a otros sistemas, y derivar archivos, entre otras cosas. . Este enfoque habla del alto nivel de sofisticación técnica del grupo.
¿Qué son los espacios de aire?
Para minimizar el riesgo de verse comprometidas, las redes altamente sensibles suelen tener espacios de aire y, por lo tanto, están aisladas de otras redes. Normalmente, las empresas encapsulan sus sistemas más valiosos, como por ejemplo: B. sistemas de control industrial de redes eléctricas. Esta es la razón por la que las organizaciones de infraestructura crítica, en particular, dependen de espacios de aire. Estas son a menudo exactamente las redes que interesan a los atacantes. Los ataques a redes aisladas consumen muchos más recursos que penetrar en un sistema conectado a Internet. Esto hace que los grupos de la APT estén particularmente predestinados para tales acciones. El objetivo es siempre el ciberespionaje.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.
Artículos relacionados con el tema