Исследователи из ESET обнаружили серию кибератак на системы с «воздушным зазором» (Air Gap) правительственных организаций, проведённых APT-группировкой GoldenJackal. Кампания шпионажа велась с мая 2022 по март 2024 года с использованием специализированных инструментов для проникновения в системы, не подключённые к интернету. Группировка GoldenJackal ведёт свою деятельность как минимум с 2019 года. В числе ранних целей хакеров значится посольство Южной Азии в Беларуси, где они впервые использовали свои уникальные инструменты, направленные на изолированные системы. Эта кампания стала одним из первых зафиксированных примеров подобных атак, а сами инструменты впервые задокументированы публично.
Основные компоненты использованных инструментов включают:
GoldenDealer — программа для передачи вредоносных файлов через USB-носители;
GoldenHowl — модульный бэкдор с функциями сбора и эксфильтрации данных;
GoldenRobo — инструмент для сбора и передачи файлов с заражённых систем.
В ходе более поздних атак на правительственные организации Европейского Союза GoldenJackal усовершенствовала свои инструменты, сделав их модульными. Это позволило эффективно настраивать сбор и передачу данных, а также управлять конфигурациями на заражённых системах. Исследователи отметили, что часть заражённых систем использовалась для передачи файлов, другие служили локальными серверами для получения и распределения информации. Целью атак становились системы с конфиденциальной информацией, особенно те, что не имели выхода в интернет. Один из возможных сценариев атаки GoldenJackal предполагает заражение USB-накопителя на внешнем компьютере и его последующее подключение к изолированной системе сотрудником, не подозревающим об угрозе. Вредоносное ПО, установленное на устройстве, собирает данные, а затем возвращает их хакерам при повторном подключении к системе с доступом к интернету. GoldenJackal сосредоточена на правительственных и дипломатических структурах в Европе, Южной Азии и на Ближнем Востоке. Атаки группировки нацелены на кражу конфиденциальной информации, преимущественно с высокозащищённых машин. Хотя ESET связала инструменты с GoldenJackal, происхождение самой группировки остаётся неясным. Использование USB-устройств для проникновения в изолированные системы подчёркивает опасность подобных атак, способных обходить даже самые строгие меры безопасности. Данный случай с атаками на системы с воздушным зазором демонстрирует, что даже самые защищённые сети могут быть уязвимы перед изощрёнными методами проникновения. Зависимость от физического оборудования, такого как USB-устройства, и тонкость подхода злоумышленников подчёркивают важность усиленной кибербезопасности и осведомлённости персонала, ведь даже малейшая ошибка может обернуться масштабной утечкой данных.