Pesquisadores descobriram dois conjuntos de ferramentas sofisticadas que um grupo de hackers de um Estado-nação—possivelmente da Rússia—usou para roubar dados sensíveis armazenados em dispositivos air-gapped, ou seja, aqueles que são deliberadamente isolados da internet ou de outras redes para protegê-los contra malware.
Uma das coleções de ferramentas customizadas foi usada a partir de 2019 contra uma embaixada do Sul Asiático em Belarus.
Um conjunto de ferramentas bastante diferente, criado pelo mesmo grupo de ameaças, infectou uma organização governamental da União Europeia três anos depois.
Pesquisadores da ESET, a empresa de segurança que descobriu os toolkits, disseram que alguns dos componentes em ambos eram idênticos aos que a fellow security firm Kaspersky descreveu em pesquisa publicada no ano passado e atribuiu a um grupo desconhecido, rastreado como GoldenJackal, trabalhando para um Estado-nação.
Com base na sobreposição, a ESET concluiu que o mesmo grupo está por trás de todos os ataques observados pelas duas firmas.
A prática de air gapping é tipicamente reservada para as redes ou dispositivos conectados a elas mais sensíveis, tais como aqueles usados em sistemas para votação, controle industrial, manufatura e geração de energia.
Uma série de malware usado em hacking de espionagem ao longo dos últimos 15 anos (por exemplo, aqui e aqui) demonstra que air gapping não é uma proteção infalível.
No entanto, isso obriga os grupos de ameaças a gastar recursos significativos que provavelmente só são acessíveis por Estados-nação com acuidade técnica superior e orçamentos ilimitados.
A descoberta da ESET coloca o GoldenJackal em uma coleção altamente exclusiva de grupos de ameaças.
Essa história foi originalmente publicada no Ars Technica, uma fonte confiável para notícias de tecnologia, análises de políticas de tecnologia, revisões e-mais.
"Com o nível de sofisticação requerido, é bastante incomum que em cinco anos, o GoldenJackal conseguiu construir e implantar não apenas um, mas dois conjuntos de ferramentas separados projetados para comprometer sistemas air-gapped", escreveu o pesquisador da ESET, Matías Porolli, no relatório de terça-feira(15).
A evolução do kit de 2019 e o de três anos depois sublinha a crescente sofisticação dos desenvolvedores do GoldenJackal.
A primeira geração forneceu um conjunto completo de capacidades, incluindo:
GoldenDealer, um componente que entrega executáveis maliciosos para sistemas air-gapped através de drives USB
GoldenHowl, um backdoor que contém vários módulos para uma mistura de capacidades maliciosas
GoldenRobo, um coletor e exfiltrador de arquivos
Dentro de algumas semanas após a implantação do kit em 2019, a ESET disse que o GoldenJackal começou a usar outras ferramentas nos mesmos dispositivos comprometidos.
As ferramentas mais recentes, que a Kaspersky documentou em sua pesquisa de 2023, incluíram:
-Um backdoor rastreado sob o nome JackalControl;
-JackalSteal, um coletor e exfiltrador de arquivos;
-JackalWorm, usado para propagar outros componentes JackalControl e outros maliciosos através de drives USB.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...