GoldenJackal: Hacker greifen vom Internet isolierte Computer an

GoldenJackal: Hacker greifen vom Internet isolierte Computer an

Beitrag teilen

Die APT-Gruppe GoldenJackal greift erfolgreich Ziele in Europa an, die durch Air Gaps gut geschützt sind. Die Schadsoftware verbreitete sich über USB-Sticks auf Systeme, die komplett vom Internet isoliert waren. Vermutlich wollten die Angreifer so hochsensible Daten erlangen.

Die mysteriöse APT-Gruppe GoldenJackal hat Rechner von hochrangigen Zielen in Europa angegriffen. Zwischen August 2019 und März 2024 nahmen die Hacker eine südasiatische Botschaft in Belarus und wiederholt eine EU-Regierungsorganisation ins Visier. Forscher des IT-Sicherheitsherstellers ESET haben die Angriffe aufgedeckt. Die betroffenen Systeme waren komplett vom Internet isoliert, um Cyberattacken zu verhindern. IT-Profis sprechen hier von einem Air Gap. Um diese Sicherheitsmaßnahme zu umgehen, gingen die Hacker raffiniert vor: Sie setzten eine Schadsoftware ein, die sich über USB-Sticks verbreitete und in weiten Teilen ohne Internetzugang funktionierte. Ziel waren höchstwahrscheinlich vertrauliche und hochsensible Informationen auf infizierten Geräten.

„Je stärker Daten gesichert sind, desto interessanter werden sie für Cyberkriminelle“, sagt ESET Forscher Matías Porolli, der die Schadsoftware untersucht hat. „Für Kriminelle ist es äußerst schwierig, an Informationen zu gelangen, wenn sie nicht über das Internet darauf zugreifen können. Die aktuellen Attacken zeigen allerdings, dass auch isolierte Computer keine Wunderwaffe gegen Hacker sind – ein verseuchter USB-Stick reicht aus, um sensible Daten zu gefährden.“

Über GoldenJackal ist nicht viel bekannt außer, dass die Gruppe seit 2019 aktiv ist und sich auf die Spionage von diplomatischen Einrichtungen in Europa, dem Mittleren Osten und Südasien spezialisiert hat.

So konnten die GoldenJackal-Hacker den virtuellen Burggraben überwinden

Die Hacker infizieren einen PC, der mit dem Internet verbunden ist, mit einem unbekannten Computerwurm und „GoldenDealer“. Dabei handelt es sich um eine Malware, die weitere schadhafte Dateien auf Rechnern hinter Air Gaps installieren kann. Wie genau die erste Infektion mit diesen Komponenten stattfindet, ist unbekannt. Jedes Mal, wenn ein USB-Laufwerk (z. B. ein USB-Stick) an einen infizierten Computer angeschlossen wird, kopiert der Wurm sich selbst und die GoldenDealer-Komponente darauf.

Verbindet ein Nutzer diesen USB-Stick in einen Computer hinter einem Air Gap ein, sieht er eine Datei mit dem Symbol eines regulären Dateiordners. Klickt er darauf, um ihn zu öffnen, führt er unwissentlich GoldenDealer aus und installiert das Programm. Dieses sammelt dann Informationen über das abgekapselte System und speichert sie auf dem USB-Laufwerk. Wird der Stick danach in den PC mit Internetzugriff eingesteckt, sendet GoldenDealer die Informationen an einen Server der Hacker. Dieser antwortet mit einer oder mehreren Dateien, die auf dem ausspionierten PC ausgeführt werden sollen. Sobald der Nutzer den Stick wieder mit dem PC verbindet, führt GoldenDealer diesen Befehl aus. Hierbei ist keine weitere Benutzerinteraktion erforderlich.

Maßgeschneiderte Malware

GoldenJackal hat in den letzten fünf Jahren zwei verschiedene Varianten von Schadsoftware verwendet, um Systeme hinter Air Gaps zu kompromittieren.

Bei den Angriffen auf die südasiatische Botschaft in Belarus 2019 kam maßgeschneiderte Schadsoftware zum Einsatz, die neben GoldenDealer weitere Komponenten auf Zielrechnern installierte: GoldenHowl, eine Backdoor mit verschiedenen Funktionen sowie GoldenRobo, einen Dateisammler und -exfiltrator.

Bei der jüngsten Angriffsserie gegen die Regierungsorganisation in der Europäischen Union ging GoldenJackal zu einer hochgradig modularen Schadsoftware über. Dieser Ansatz galt nicht nur für die Komponenten, sondern auch für die Rollen der betroffenen Hosts innerhalb des kompromittierten Systems: Sie wurden unter anderem zum Sammeln und Verarbeiten interessanter Informationen, zum Verteilen von Dateien, Konfigurationen und Befehlen an andere Systeme und zum Ableiten von Dateien verwendet. Diese Herangehensweise spricht für eine hohe technische Raffinesse der Gruppe.

Was sind Air Gaps?

Um das Risiko einer Kompromittierung zu minimieren, erhalten hochsensible Netzwerke oft einen Air Gap, und werden somit von anderen Netzwerken isoliert. In der Regel kapseln Unternehmen ihre wertvollsten Systeme ab, wie z. B. industrielle Kontrollsysteme für Stromnetze. Besonders Organisationen der kritischen Infrastruktur setzen deswegen auf Air Gaps. Dies sind oft genau die Netzwerke, die für Angreifer interessant sind. Attacken auf Air-Gapped-Netzwerke sind wesentlich ressourcenintensiver als das Eindringen in ein mit dem Internet verbundenes System. Das prädestiniert vor allem APT-Gruppen für solche Aktionen. Ziel ist immer Cyberspionage.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen