ESET Research : GoldenJackal, groupe APT avec outils compatibles air-gap, vole des données dans l’UE
Publié le 07/10/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• GoldenJackal, un groupe APT, utilise des outils personnalisés pour cibler les systèmes isolés d’une ambassade d’Asie du Sud en Biélorussie depuis au moins août 2019.
• Lors d’une autre attaque, GoldenJackal a déployé, à plusieurs reprises, de mai 2022 à mars 2024, des outils hautement modulaires contre l’organisation gouvernementale d’un pays de l’UE.
• Ces outils fournissent à GoldenJackal de vastes capacités pour compromettre et persister dans les réseaux ciblés. Les systèmes victimes ont alors divers rôles dans le réseau local, de la collecte d’informations intéressantes, confidentielles, au traitement des informations, en passant par la distribution de fichiers, de configurations et de commandes à d’autres systèmes, ou l’exfiltration de fichiers.
• Le but final de GoldenJackal est vraisemblablement le vol d’informations confidentielles, plus particulièrement à partir de machines de haut niveau, intentionnellement isolées d’Internet.
MONTREAL, BRATISLAVA, le 7 octobre 2024 —ESET Research a découvert une série d’attaques qui ont eu lieu en Europe entre mai 2022 et mars 2024, au cours desquelles les attaquants ont utilisé un ensemble d’outils capables de cibler les systèmes isolés d’une organisation gouvernementale d’un pays de l’UE. ESET attribue la campagne à GoldenJackal, un groupe de cyber-espionnage APT qui cible les entités gouvernementales et diplomatiques. En analysant l’ensemble d’outils déployés, ESET a identifié une précédente attaque de GoldenJackal, en 2019, contre une ambassade d’Asie du Sud en Biélorussie. Elle ciblait les systèmes isolés de l’ambassade avec des outils personnalisés. L’ultime objectif de GoldenJackal est fort probablement le vol d’informations confidentielles et sensibles, plus particulièrement sur des machines bien connues qui pourraient ne pas être connectées à Internet. ESET Research a présenté ces conclusions lors de la conférence Virus Bulletin 2024.
Pour réduire le risque de compromission, les réseaux hautement sensibles sont souvent isolés des autres réseaux. Les organisations isolent généralement leurs systèmes les plus précieux, tels que les systèmes de vote et de contrôle industriels gérant les réseaux électriques. Généralement, ces réseaux intéressent les attaquants. Compromettre un réseau isolé demande bien plus de ressources que pirater un système connecté à Internet, ce qui signifie que les systèmes conçus pour attaquer les réseaux isolés ont jusqu'à présent été exclusivement développés par des groupes APT. Le but de ces attaques est toujours l'espionnage.
«En mai 2022, nous avons découvert des outils que nous ne pouvions attribuer à aucun groupe APT. Mais lorsque que les attaquants ont utilisé un outil similaire à un de ceux déjà documentés, nous avons pu analyser plus profondément et découvrir un lien entre l’ensemble d’outils publiquement documenté de GoldenJackal et ce nouveau venu. En extrapolant, nous avons identifié une attaque précédente où l’ensemble des outils documentés avait été déployé, ainsi que des outils plus anciens, également avec des capacités pour cibler des systèmes isolés », explique Matías Porolli, le chercheur d’ESET, qui a analysé les outils de GoldenJackal.
GoldenJackal cible des entités gouvernementales en Europe, au Moyen-Orient et en Asie du Sud. En août et septembre 2019 puis à nouveau en juillet 2021, ESET a détecté des outils GoldenJackal dans une ambassade d'Asie du Sud en Biélorussie. Plus récemment, selon la télémétrie d'ESET, une autre organisation gouvernementale de l’UE a été ciblée à diverses reprises de mai 2022 à mars 2024.
En raison de la sophistication requise, il est assez inhabituel qu’en cinq ans, GoldenJackal ait réussi à déployer non pas un, mais deux ensembles d’outils distincts pour compromettre des systèmes isolés. Cela prouve l’ingéniosité du groupe. Les attaques contre une ambassade d’Asie du Sud en Biélorussie utilisaient des outils personnalisés encore jamais vu jusqu’à présent. La campagne avait trois composants principaux : GoldenDealer pour livrer des exécutables au système isolé via une surveillance USB ; GoldenHowl, une porte dérobée modulaire avec diverses fonctionnalités et GoldenRobo, pour collecter et exfiltrer des fichiers.
«Lorsqu’une victime insère une clé USB compromise dans un système isolé et clique sur un composant avec une icône de dossier mais qui est en fait un exécutable malveillant, GoldenDealer est installé et exécuté, et commence à collecter des informations sur le système isolé et les stocke sur la clé USB. Lorsque la clé est à nouveau insérée dans le PC connecté à Internet, GoldenDealer récupère les informations sur le PC isolé à partir de la clé USB et les envoie au serveur C&C. Lorsque la clé est à nouveau insérée dans ce PC, GoldenDealer récupère les exécutables de la clé et les exécute. Aucune interaction de l’utilisateur n’est nécessaire car GoldenDealer est déjà en cours d’exécution », explique Porolli.
Lors de sa dernière série d'attaques contre une organisation gouvernementale de l'UE, GoldenJackal a abandonné ses outils d'origine pour adopter un nouvel ensemble hautement modulaire. Cette approche modulaire s'appliquait non seulement aux outils malveillants, mais aussi aux rôles des hôtes victimes au sein du système compromis. Ces hôtes étaient utilisés, entre autres, pour collecter et traiter des informations intéressantes, confidentielles, pour distribuer des fichiers, des configurations et des commandes à d'autres systèmes et pour exfiltrer des fichiers.
Pour une analyse plus en détail et une analyse technique des outils de GoldenJackal, consultez le dernier blog d’ESET Research “Mind the (air) gap: GoldenJackal gooses government guardrails” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
A PROPOS d’ESET ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
• Lors d’une autre attaque, GoldenJackal a déployé, à plusieurs reprises, de mai 2022 à mars 2024, des outils hautement modulaires contre l’organisation gouvernementale d’un pays de l’UE.
• Ces outils fournissent à GoldenJackal de vastes capacités pour compromettre et persister dans les réseaux ciblés. Les systèmes victimes ont alors divers rôles dans le réseau local, de la collecte d’informations intéressantes, confidentielles, au traitement des informations, en passant par la distribution de fichiers, de configurations et de commandes à d’autres systèmes, ou l’exfiltration de fichiers.
• Le but final de GoldenJackal est vraisemblablement le vol d’informations confidentielles, plus particulièrement à partir de machines de haut niveau, intentionnellement isolées d’Internet.
MONTREAL, BRATISLAVA, le 7 octobre 2024 —ESET Research a découvert une série d’attaques qui ont eu lieu en Europe entre mai 2022 et mars 2024, au cours desquelles les attaquants ont utilisé un ensemble d’outils capables de cibler les systèmes isolés d’une organisation gouvernementale d’un pays de l’UE. ESET attribue la campagne à GoldenJackal, un groupe de cyber-espionnage APT qui cible les entités gouvernementales et diplomatiques. En analysant l’ensemble d’outils déployés, ESET a identifié une précédente attaque de GoldenJackal, en 2019, contre une ambassade d’Asie du Sud en Biélorussie. Elle ciblait les systèmes isolés de l’ambassade avec des outils personnalisés. L’ultime objectif de GoldenJackal est fort probablement le vol d’informations confidentielles et sensibles, plus particulièrement sur des machines bien connues qui pourraient ne pas être connectées à Internet. ESET Research a présenté ces conclusions lors de la conférence Virus Bulletin 2024.
Pour réduire le risque de compromission, les réseaux hautement sensibles sont souvent isolés des autres réseaux. Les organisations isolent généralement leurs systèmes les plus précieux, tels que les systèmes de vote et de contrôle industriels gérant les réseaux électriques. Généralement, ces réseaux intéressent les attaquants. Compromettre un réseau isolé demande bien plus de ressources que pirater un système connecté à Internet, ce qui signifie que les systèmes conçus pour attaquer les réseaux isolés ont jusqu'à présent été exclusivement développés par des groupes APT. Le but de ces attaques est toujours l'espionnage.
«En mai 2022, nous avons découvert des outils que nous ne pouvions attribuer à aucun groupe APT. Mais lorsque que les attaquants ont utilisé un outil similaire à un de ceux déjà documentés, nous avons pu analyser plus profondément et découvrir un lien entre l’ensemble d’outils publiquement documenté de GoldenJackal et ce nouveau venu. En extrapolant, nous avons identifié une attaque précédente où l’ensemble des outils documentés avait été déployé, ainsi que des outils plus anciens, également avec des capacités pour cibler des systèmes isolés », explique Matías Porolli, le chercheur d’ESET, qui a analysé les outils de GoldenJackal.
GoldenJackal cible des entités gouvernementales en Europe, au Moyen-Orient et en Asie du Sud. En août et septembre 2019 puis à nouveau en juillet 2021, ESET a détecté des outils GoldenJackal dans une ambassade d'Asie du Sud en Biélorussie. Plus récemment, selon la télémétrie d'ESET, une autre organisation gouvernementale de l’UE a été ciblée à diverses reprises de mai 2022 à mars 2024.
En raison de la sophistication requise, il est assez inhabituel qu’en cinq ans, GoldenJackal ait réussi à déployer non pas un, mais deux ensembles d’outils distincts pour compromettre des systèmes isolés. Cela prouve l’ingéniosité du groupe. Les attaques contre une ambassade d’Asie du Sud en Biélorussie utilisaient des outils personnalisés encore jamais vu jusqu’à présent. La campagne avait trois composants principaux : GoldenDealer pour livrer des exécutables au système isolé via une surveillance USB ; GoldenHowl, une porte dérobée modulaire avec diverses fonctionnalités et GoldenRobo, pour collecter et exfiltrer des fichiers.
«Lorsqu’une victime insère une clé USB compromise dans un système isolé et clique sur un composant avec une icône de dossier mais qui est en fait un exécutable malveillant, GoldenDealer est installé et exécuté, et commence à collecter des informations sur le système isolé et les stocke sur la clé USB. Lorsque la clé est à nouveau insérée dans le PC connecté à Internet, GoldenDealer récupère les informations sur le PC isolé à partir de la clé USB et les envoie au serveur C&C. Lorsque la clé est à nouveau insérée dans ce PC, GoldenDealer récupère les exécutables de la clé et les exécute. Aucune interaction de l’utilisateur n’est nécessaire car GoldenDealer est déjà en cours d’exécution », explique Porolli.
Lors de sa dernière série d'attaques contre une organisation gouvernementale de l'UE, GoldenJackal a abandonné ses outils d'origine pour adopter un nouvel ensemble hautement modulaire. Cette approche modulaire s'appliquait non seulement aux outils malveillants, mais aussi aux rôles des hôtes victimes au sein du système compromis. Ces hôtes étaient utilisés, entre autres, pour collecter et traiter des informations intéressantes, confidentielles, pour distribuer des fichiers, des configurations et des commandes à d'autres systèmes et pour exfiltrer des fichiers.
Pour une analyse plus en détail et une analyse technique des outils de GoldenJackal, consultez le dernier blog d’ESET Research “Mind the (air) gap: GoldenJackal gooses government guardrails” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
A PROPOS d’ESET ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.