Nhóm Hacker Bí ẩn có 2 Công cụ Mới để Đánh Cắp Dữ Liệu Từ Máy không Kết Nối Mạng
Bộ công cụ mới phát hiện được bao gồm nhiều khối xây dựng khác nhau, được viết bằng nhiều ngôn ngữ và năng lực khác nhau. Mục tiêu chung dường như là tăng tính linh hoạt và khả năng chịu đựng trong trường hợp một module bị phát hiện bởi mục tiêu.
“Mục tiêu của họ là lấy dữ liệu khó có từ các hệ thống không kết nối mạng và duy trì dưới tầm radar càng nhiều càng tốt,” Costin Raiu, một nhà nghiên cứu từng làm việc tại Kaspersky vào thời điểm công ty đang nghiên cứu về GoldenJackal, viết trong một cuộc phỏng vấn. “Các cơ chế thực hiện rò rỉ dữ liệu đa dạng cho thấy một bộ công cụ rất linh hoạt có thể phù hợp với mọi tình huống. Các công cụ này cho thấy đó là một khung công cụ có thể tùy chỉnh cao đến mức họ triển khai chính xác những gì họ cần thay vì một mã độc có thể làm bất cứ điều gì.”
Các hiểu biết mới khác được cung cấp bởi nghiên cứu của ESET là sự quan tâm của GoldenJackal đến các mục tiêu tại châu Âu. Các nhà nghiên cứu của Kaspersky phát hiện nhóm này tập trung vào các quốc gia Trung Đông.
Dựa trên thông tin mà Kaspersky có sẵn, các nhà nghiên cứu của công ty không thể gán GoldenJackal với bất kỳ quốc gia cụ thể nào. ESET cũng không thể xác định chắc chắn quốc gia đó, nhưng nó đã tìm thấy một gợi ý rằng nhóm đe dọa có thể có mối liên kết với Turla, một nhóm hacker mạnh mẽ làm việc cho cơ quan tình báo FSB của Nga. Liên kết đến trong transport_http được giới thiệu trong GoldenHowl. Biểu hiện tương tự được tìm thấy trong mã độc được biết xuất xứ từ Turla.
Raiu nói cách tiếp cận cực kỳ modul hóa cũng gợi nhớ đến Red October, một nền tảng gián điệp phức tạp được phát hiện vào năm 2013 tập trung vào hàng trăm tổ chức ngoại giao, chính phủ và khoa học ở ít nhất 39 quốc gia, bao gồm Liên Bang Nga, Iran và Hoa Kỳ.
Mặc dù nhiều phần trong báo cáo của Thứ Ba chứa phân tích kỹ thuật có thể quá phức tạp đối với nhiều người, nó cung cấp thông tin mới quan trọng để mở rộng hơn về mã độc được thiết kế để vượt qua lệch không khí và các chiến thuật, kỹ thuật và quy trình của những người sử dụng nó. Báo cáo cũng sẽ hữu ích cho những người phụ trách bảo vệ những loại tổ chức thường xuyên bị nhắm đến bởi các nhóm quốc gia.
“Tôi nghĩ rằng điều này đặc biệt đối với các chuyên gia an ninh làm việc tại các đại sứ quán và các Trung tâm CERT của chính phủ,” Raiu nói. “Họ cần kiểm tra các TTP này và theo dõi chúng trong tương lai. Nếu bạn trước đây đã là nạn nhân của Turla hoặc Red October, tôi sẽ theo dõi cẩn thận điều này.”
#SKRINHACKING #GoldenJackal #Turla #RedOctober #Bảo_mật_mạng #IDSự_kiện_ngày_hôm_nay
Nguồn: https://www.wired.com/story/goldenjackal-hacking-group-new-tools-air-gapped-machines/
The newly discovered toolkit is composed of many different building blocks, written in multiple languages and capabilities. The overall goal appears to be increased flexibility and resiliency in the event one module is detected by the target.
“Their goal is to get hard to obtain data from air-gapped systems and stay under the radar as much as possible,” Costin Raiu, a researcher who worked at Kaspersky at the time it was researching GoldenJackal, wrote in an interview. “Multiple exfiltration mechanisms indicate a very flexible tool kit that can accommodate all sorts of situations. These many tools indicate it’s a highly customizable framework where they deploy exactly what they need as opposed to a multi purpose malware that can do anything.”
Other new insights offered by the ESET research is GoldenJackal’s interest in targets located in Europe. Kaspersky researchers detected the group targeting Middle Eastern countries.
Based on the information that was available to Kaspersky, company researchers couldn’t attribute GoldenJackal to any specific country. ESET has also been unable to definitively identify the country, but it did find one hint that the threat group may have a tie to Turla, a potent hacking group working on behalf of Russia’s FSB intelligence agency. The tie comes in the form of command-and-control protocol in GoldenHowl referred to as transport_http. The same expression is found in malware known to originate with Turla.
Raiu said the highly modular approach is also reminiscent of Red October, an elaborate espionage platform discovered in 2013 targeting hundreds of diplomatic, governmental, and scientific organizations in at least 39 countries, including the Russian Federation, Iran, and the United States.
While much of Tuesday’s report contains technical analysis that is likely to be too advanced for many people to understand, it provides important new information that furthers insights into malware designed to jump air gaps and the tactics, techniques, and procedures of those who use it. The report will also be useful to people responsible for safeguarding the types of organizations most frequently targeted by nation-state groups.
“I’d say this is mostly interesting for security people working in embassies and government CERTs,” Raiu said. “They need to check for these TTPs and keep an eye on them in the future. If you were previously a victim of Turla or Red October I’d keep an eye on this.”
This story originally appeared on Ars Technica.
[ad_2]
