O kit de ferramentas recém-descoberto consiste em muitos blocos de construção escritos em diferentes linguagens e capacidades. O objetivo geral é aumentar a flexibilidade e robustez caso um módulo seja detectado por um alvo.
“O objetivo deles é dificultar a obtenção de dados de sistemas de air gap e permanecer o máximo possível sob o radar”, escreveu Costin Raiu, pesquisador que trabalhava na Kaspersky na época da investigação do GoldenJackal, em uma entrevista. “Os múltiplos mecanismos de exfiltração representam um conjunto de ferramentas muito flexível que pode ser adaptado a qualquer situação. Estas múltiplas ferramentas demonstram que esta é uma estrutura altamente personalizável onde podem fazer exatamente o que precisam, em comparação com Eles hospedam software multiuso que pode fazer tudo.
Outra nova visão oferecida pela pesquisa da ESET é o foco do GoldenJackal em alvos localizados na Europa. Os pesquisadores da Kaspersky descobriram um grupo que visa países do Oriente Médio.
Com base nas informações disponibilizadas à Kaspersky, os pesquisadores da empresa não conseguiram atribuir o GoldenJackal a nenhum país específico. A ESET também não conseguiu identificar o país, mas encontrou indícios de que o grupo ameaçador pode estar ligado ao Turla, um poderoso grupo de hackers que opera em nome da agência de inteligência russa FSB. O empate vem na forma de um protocolo de comando e controle no GoldenHowl chamado transport_http. A mesma frase aparece no malware originado do Turla.
Raiu disse que também se lembra de uma abordagem muito modular Outubro VermelhoUma sofisticada plataforma de espionagem foi descoberta em 2013 e tinha como alvo centenas de organizações diplomáticas, governamentais e científicas em pelo menos 39 países, incluindo a Federação Russa, o Irão e os Estados Unidos.
Embora grande parte do relatório de terça-feira contenha análises técnicas que provavelmente são muito avançadas para muitas pessoas entenderem, ele fornece novas informações importantes sobre o malware usado para escapar do air gap e as táticas, métodos e procedimentos usados por aqueles que o utilizam. mais compreensão. O relatório também será útil para os responsáveis pela protecção dos tipos de organizações que são frequentemente alvo de grupos estatais.
“Eu diria que é mais interessante para o pessoal de segurança que trabalha em embaixadas e CERTs governamentais”, disse Raiu. “Eles deveriam verificar esses TTPs e monitorá-los no futuro. “Se você fosse vítima de Turla ou do Outubro Vermelho antes, eu teria controlado.”
Esta história apareceu primeiro Ars Técnica.
