گروه هکری مرموز با هدف سرقت داده از دستگاه‌های ایزوله شده از اینترنت

محققان دو مجموعه ابزار پیچیده را کشف کرده‌اند که یک گروه هکری مرتبط با دولت – احتمالاً از روسیه – برای سرقت داده از دستگاه‌های ایزوله شده از اینترنت استفاده کرده است. این دستگاه‌ها به‌طور عمدی برای محافظت در برابر بدافزارها از اینترنت جدا شده‌اند.

یکی از این مجموعه‌های سفارشی از سال ۲۰۱۹ در حمله به سفارت یک کشور جنوب آسیایی در بلاروس استفاده شده بود. سه سال بعد، همین گروه با یک مجموعه ابزار متفاوت به یک سازمان دولتی اتحادیه اروپا حمله کرد. محققان شرکت امنیتی ESET که این ابزارها را کشف کرده‌اند، اعلام کردند برخی از اجزای این دو مجموعه با مواردی که شرکت Kaspersky در تحقیقات سال گذشته‌اش به گروه ناشناس “GoldenJackal” نسبت داده بود، یکسان هستند. این گروه به‌طور مشخص در سرقت داده از دستگاه‌های ایزوله شده از اینترنت مهارت ویژه‌ای دارد.

ایزوله کردن دستگاه‌ها معمولاً برای شبکه‌ها یا دستگاه‌های بسیار حساس استفاده می‌شود، مثل سیستم‌های رأی‌گیری یا کنترل صنعتی. با این حال، بسیاری از بدافزارهای جاسوسی نشان داده‌اند که این روش کاملاً ایمن نیست. ESET با کشف این ابزارها، گروه GoldenJackal را جزو معدود گروه‌هایی قرار داده که توانسته‌اند سرقت داده از دستگاه‌های ایزوله شده از اینترنت را انجام دهند.

این ابزارها از سال ۲۰۱۹ تا به امروز پیشرفت کرده‌اند و ابزارهای جدیدی مانند GoldenDealer، GoldenHowl و GoldenRobo برای سرقت داده از دستگاه‌های ایزوله شده از اینترنت به‌کار گرفته شده‌اند. در حملات جدیدتر، ابزارهای JackalControl، JackalSteal و JackalWorm به سیستم‌ها اضافه شده‌اند تا بتوانند به روش‌های متنوع‌تری به این دستگاه‌ها نفوذ کنند.

روند اصلی حمله این است که ابتدا یک دستگاه متصل به اینترنت آلوده می‌شود. سپس هر درایو خارجی که به این دستگاه متصل شود، آلوده شده و وقتی به دستگاه‌های ایزوله شده متصل شود، سرقت داده از دستگاه‌های ایزوله شده از اینترنت انجام می‌شود.

این گروه هکری ابزارهای خود را با رویکردی ماژولار طراحی کرده و از اجزای مختلف برای سرقت داده از دستگاه‌های ایزوله شده از اینترنت استفاده می‌کند. هدف اصلی آن‌ها این است که داده‌های حساس را بدون شناسایی استخراج کنند و این کار را با استفاده از ابزارهایی مانند GoldenUsbCopy، GoldenAce و GoldenDrive انجام می‌دهند.

موضوعی غیرمعمول

ایزوله کردن دستگاه‌ها معمولاً برای حساس‌ترین شبکه‌ها یا دستگاه‌ها استفاده می‌شود، مثل سیستم‌های رأی‌گیری، کنترل صنعتی، تولیدی و تولید نیرو. در طول ۱۵ سال گذشته، چندین بدافزار جاسوسی نشان داده‌اند که این نوع محافظت بی‌نقص نیست. اما این روش معمولاً گروه‌های هکری را مجبور می‌کند منابع عظیمی که فقط توسط دولت‌ها با مهارت‌های فنی بالا و بودجه‌های کلان قابل دسترسی است، به‌کار گیرند. کشف ESET نشان می‌دهد که “GoldenJackal” جزو گروه‌های تهدید نادر است.

مات پورولی، محقق ESET، در گزارشی نوشت: «سطح پیچیدگی بالایی برای ساخت این ابزارها لازم است و این واقعاً عجیب است که این گروه طی پنج سال موفق به ساخت و استفاده از دو مجموعه جداگانه برای نفوذ به سیستم‌های ایزوله شده از اینترنت شده است. این نشان‌دهنده خلاقیت بالای این گروه است.»

تحولات ابزارهای این گروه از سال ۲۰۱۹ و سه سال بعد، نشان‌دهنده رشد پیچیدگی کار توسعه‌دهندگان “GoldenJackal” است. نسل اول این ابزارها شامل:

• GoldenDealer: ابزاری برای ارسال بدافزار از طریق درایوهای USB به سیستم‌های ایزوله
• GoldenHowl: یک درپشتی با قابلیت‌های مخرب متنوع
• GoldenRobo: جمع‌آوری‌کننده فایل‌ها و ابزار استخراج

ESET اعلام کرد چند هفته بعد از نصب این ابزارها در سال ۲۰۱۹، “GoldenJackal” ابزارهای جدیدی روی دستگاه‌های آلوده نصب کرد. ابزارهای جدیدی که Kaspersky در تحقیقات خود در سال ۲۰۲۳ ثبت کرده، شامل موارد زیر بودند:

• JackalControl: یک درپشتی
• JackalSteal: ابزاری برای جمع‌آوری فایل‌ها و استخراج
• JackalWorm: ابزاری برای انتشار بدافزارها از طریق درایوهای USB

این گروه تا ژانویه امسال به استفاده از این ابزارها ادامه داد. روند اصلی حمله این است که ابتدا یک دستگاه متصل به اینترنت آلوده می‌شود (با روشی که ESET و Kaspersky هنوز نتوانسته‌اند کشف کنند). سپس دستگاه آلوده، هر درایو خارجی متصل به آن را آلوده می‌کند. زمانی که این درایو آلوده به یک سیستم ایزوله شده متصل می‌شود، داده‌های مورد نظر را جمع‌آوری می‌کند. نهایتاً، وقتی این درایو دوباره به یک دستگاه متصل به اینترنت وصل می‌شود، داده‌ها به سروری تحت کنترل مهاجم منتقل می‌شود.

ساخت تله‌ای بهتر

در حمله سال ۲۰۲۲ به یک سازمان دولتی اتحادیه اروپا، “GoldenJackal” از یک مجموعه ابزار جدید استفاده کرد که در چند زبان برنامه‌نویسی مانند Go و Python نوشته شده بود. این ابزارهای جدید به شکلی بسیار تخصصی‌تر عمل می‌کردند. در این روش، هر دستگاه آلوده وظیفه خاصی داشت و ماژول‌های مختلفی داشتند که بسته به هدف مهاجم در هر حمله، به کار گرفته می‌شد.

پورولی نوشت: «در حملات مشاهده‌ شده برای سرقت داده از دستگاه‌های ایزوله شده از اینترنت ، “GoldenJackal” رویکردی ماژولار استفاده کرد و از اجزای مختلف برای انجام کارهای متفاوت استفاده کرد. برخی از دستگاه‌ها برای استخراج فایل‌ها استفاده شدند، برخی به عنوان سرورهای محلی برای دریافت و توزیع فایل‌ها عمل کردند و برخی دیگر برای جمع‌آوری فایل‌ها جهت اهداف جاسوسی انتخاب شدند.»

ابزارهای این گروه شامل:

• GoldenUsbCopy: ابزاری برای نظارت بر اتصال درایوهای USB به دستگاه‌های ایزوله و کپی کردن داده‌ها در یک مخزن رمزگذاری‌شده
• GoldenUsbGo: نسخه به‌روزشده GoldenUsbCopy
• GoldenAce: ابزاری برای انتشار بدافزارها و بازیابی فایل‌ها از درایوهای USB
• سرور HTTP: یک سرور HTTP که هنوز نقش دقیق آن مشخص نشده
• GoldenBlacklist: ابزاری برای دریافت و فیلتر کردن ایمیل‌ها و آرشیو کردن پیام‌های مهم برای استخراج توسط دیگر اجزا
• GoldenPyBlacklist: نسخه پایتون GoldenBlacklist
• GoldenMailer: ابزاری برای استخراج فایل‌های جمع‌آوری‌شده از دستگاه‌های ایزوله و ارسال آن‌ها به یک آدرس ایمیل تحت کنترل مهاجم
• GoldenDrive: ابزاری جداگانه برای ارسال فایل‌ها به Google Drive

این مجموعه ابزار جدید شامل اجزای مختلفی است که انعطاف‌پذیری و قابلیت بقای بیشتری به حمله می‌دهد. هدف نهایی آن‌ها به دست آوردن داده‌های حساس از سیستم‌های ایزوله و پنهان ماندن تا حد امکان است.

مطالعات جدید ESET همچنین نشان می‌دهد که “GoldenJackal” به هدف‌هایی در اروپا علاقه‌مند است، در حالی که تحقیقات Kaspersky نشان داد که این گروه بیشتر به کشورهای خاورمیانه حمله کرده بود.

هرچند هیچ‌یک از دو شرکت تاکنون نتوانسته‌اند این گروه را به‌طور قطعی به یک کشور خاص نسبت دهند، اما ESET به یک نشانه دست یافته که ممکن است “GoldenJackal” با گروه Turla، یک گروه هکری مرتبط با سرویس امنیت فدرال روسیه (FSB)، ارتباط داشته باشد.

مطلب پیشنهادی

شاهکار مهندسی اسپیس‌ ایکس در پرواز استارشیپ

مک‌ بوک پرو M4 با قیمت ۷۵۰۰ دلار در روسیه!!