Siber casuslar izole cihazlara sızıyor (GoldenJackal)

GoldenJackal, Belarus’taki ve Avrupa’daki devlet kurumlarına yönelik saldırılarında izole sistemleri hedef alan sofistike araç setleri kullandı.

GoldenJackal adlı Gelişmiş Kalıcı Tehdit (APT) grubunun, Belarus’taki bir Güney Asya büyükelçiliğine ve bir Avrupa Birliği ülkesindeki devlet kurumuna yönelik saldırılarına ilişkin ESET’in bulguları dikkat çekici. ESET araştırmacıları, GoldenJackal’ın Ağustos 2019'dan itibaren büyükelçiliğin izole sistemlerine özel araçlarla saldırdığını ve grubun Mayıs 2022 ile Mart 2024 arasında da Avrupa’daki bir devlet kuruluşuna karşı modüler bir araç seti kullandığını ortaya çıkardı. Bu araç seti, hava boşluklu, yani internete bağlı olmayan sistemlere yönelik saldırılar için geliştirilmiş. Bu tür sistemler, genellikle kritik altyapılar ve hükümet kurumları tarafından kullanılır ve bu sistemlerin tehlikeye atılması için son derece sofistike ve kaynak yoğun araçlar gereklidir. Bu nedenle, GoldenJackal gibi APT grupları, casusluk amacıyla izole sistemleri hedef almak için karmaşık teknikler geliştiriyor. ESET araştırmacılarından Matías Porolli’nin yaptığı açıklamaya göre, Mayıs 2022'de keşfedilen yeni bir araç seti başlangıçta bir APT grubuna atfedilememişti. Ancak derinlemesine bir analiz sonucunda, GoldenJackal’ın kamuya açık olarak belgelenmiş eski bir araç seti ile bağlantı bulundu ve daha önce belgelenmemiş saldırı yöntemleri de keşfedildi. GoldenJackal’ın bu yeni araç seti, izole sistemlerden bilgi çalmak için kullanıldı ve özellikle internete bağlı olmayan yüksek profilli sistemlerden hassas verileri ele geçirmeye odaklandı. Grup daha önce de Belarus'taki Güney Asya büyükelçiliğine yönelik saldırılarda USB izleme ve dosya sızdırma özelliklerine sahip araçlar kullanmıştı. GoldenJackal’ın saldırılarında kullandığı üç ana bileşen; GoldenDealer, GoldenHowl ve GoldenRobo olarak tanımlanıyor. GoldenDealer, izole sistemlere kötü amaçlı yazılım taşımak için USB sürücüleri kullanan bir bileşen. Bu bileşen, kurbanın USB sürücüsünü takması ve yanlışlıkla kötü amaçlı bir dosyaya tıklamasıyla devreye giriyor. GoldenHowl ise modüler bir arka kapı işlevi görüyor ve GoldenRobo, izole sistemlerden toplanan bilgileri dışarı sızdıran bir bileşen olarak görev yapıyor. Bu araçlar, grubun ne kadar becerikli olduğunu ve son derece karmaşık saldırılar gerçekleştirebildiğini gösteriyor. GoldenJackal’ın Avrupa’daki devlet kurumuna yönelik son saldırıları, grubun önceki araç setlerinden daha modüler ve gelişmiş bir araç seti kullandığını ortaya koyuyor. Bu modüler yaklaşım, yalnızca kötü amaçlı yazılımlara değil, aynı zamanda hedef alınan sistemdeki ana bilgisayarların rolleri üzerinde de etkili. Saldırılar, gizli bilgilerin toplanması, dosyaların diğer sistemlere yayılması ve verilerin sızdırılması gibi çeşitli amaçlarla gerçekleştirildi.