Gruppo di hacker sviluppa nuovi strumenti per violare macchine isolate dai dati

Gruppo di hacker sviluppa nuovi strumenti per violare macchine isolate dai dati

Nuovi strumenti di attacco per sistemi air-gapped

Un recente studio ha rivelato che un gruppo di hacker di stato, probabilmente proveniente dalla Russia, ha sviluppato due set di strumenti avanzati per rubare dati sensibili da dispositivi isolati da Internet, comunemente noti come sistemi air-gapped. Questi sistemi sono progettati con l’intento di proteggere le informazioni più sensibili, riducendo al minimo il rischio di infezione da malware. Tuttavia, la scoperta di queste nuove tecnologie mette in luce l’ingegnosità di attori statali con elevate risorse tecniche.

Il primo toolkit è stato attivato nel 2019 contro un’ambasciata del sud-est asiatico in Bielorussia, mentre un assortimento di strumenti decisamente diverso ha attaccato un’organizzazione governativa dell’Unione Europea tre anni dopo. Questi set di strumenti presentano alcune somiglianze con quelli precedentemente studiati da Kaspersky, che riferiva di un gruppo sconosciuto noto come GoldenJackal. Secondo gli analisti di ESET, questo legame suggerisce che il medesimo gruppo possa essere responsabile di molti attacchi osservati.

La pratica di isolare fisicamente i dispositivi da Internet è riservata solitamente a infrastrutture critiche, come i sistemi di voto e il controllo industriale. Nonostante questo, la storia recente dimostra che l’air gapping non è infallibile e le tecniche di hacking possono benissimo superare queste barriere. ESET ha indicato che l’esistenza di strumenti così sofisticati implica l’impiego di risorse considerevoli, normalmente accessibili solo a gruppi di hacker con ampie capacità tecniche e finanziarie.

Matías Porolli, ricercatore di ESET, ha enfatizzato come, in soli cinque anni, GoldenJackal sia riuscito a creare e implementare due diversi toolkit per compromettere sistemi air-gapped, rivelando così l’eccezionale livello di risorse e creatività di cui questo gruppo dispone. Lo sviluppo e l’adattamento degli strumenti tra il 2019 e le successive operazioni del 2022 evidenziano un segno distintivo della loro crescente competenza.

Il primo set comprendeva componenti come GoldenDealer, che consentiva l’infiltrazione di eseguibili dannosi tramite chiavette USB, e GoldenHowl, una backdoor dotata di moduli multipli per varie operazioni malevole, mentre il toolkit più recente ha ampliato notevolmente la gamma di funzioni disponibili. Il passaggio da un primo kit a uno più avanzato indica un’evoluzione delle tecniche di attacco, suggerendo che, nonostante le misure di sicurezza applicate a questi sistemi, i gruppi di attacco come GoldenJackal continuano a raffinare i loro metodi operativi.

Analisi delle capacità degli strumenti di GoldenJackal

Il toolkit di GoldenJackal, emerso nei recenti attacchi a sistemi air-gapped, rappresenta una combinazione complessa di strumenti progettati per massimizzare l’efficacia dell’infiltrazione e dell’esfiltrazione dei dati. Questi strumenti, sviluppati in modo da adattarsi a diversi scenari d’attacco, dimostrano un livello di sofisticazione che può essere raggiunto solo da attori statali ben finanziati e tecnicamente avanzati. Uno dei principali componenti, GoldenDealer, ha il compito di infiltrare eseguibili dannosi attraverso dispositivi USB, un metodo che sfrutta le vulnerabilità dei sistemi privi di connessione a Internet.

In particolare, il toolkit include anche GoldenHowl, che funge da backdoor con una varietà di moduli per eseguire funzioni malevole, permettendo così un accesso continuo ai sistemi compromessi. Un altro strumento innovativo è rappresentato da GoldenRobo, progettato per raccogliere e trasferire file sensibili, completando così il ciclo di furto di dati. Queste capacità evidenziano non solo una strategia di attacco ben pianificata, ma anche una versatilità operativa che permette al gruppo di adattarsi a diverse circostanze.

L’evoluzione del toolkit tra il 2019 e il 2022 mostra chiaramente un incremento della complessità delle operazioni di GoldenJackal. Il secondo set di strumenti introduce elenchi di malware più specializzati, come JackalControl e JackalSteal, che non solo infettano sistemi, ma si diffondono anche attraverso unità USB per propagare ulteriormente il malware. Questo approccio modulare, innovativo rispetto alle strutture precedenti, consente una maggiore manovrabilità durante le operazioni di attacco, fornendo agli hacker la possibilità di personalizzare le loro azioni in base ai bersagli e agli obiettivi specifici.

Un’altra significativa indicazione della capacità di questo gruppo è rappresentata dalla varietà linguistica e dalla complessità dei codici utilizzati. L’architettura dei nuovi strumenti, scritta in linguaggi come Go e Python, ha permesso agli sviluppatori di GoldenJackal di realizzare una vasta gamma di moduli, ciascuno dedicato a compiti specifici e in grado di comunicare tra loro in modo efficace. Questa adattabilità appare come un elemento fondamentale del loro modus operandi, suggerendo un approccio altamente professionale alla costruzione di malware, simile a quello impiegato da forze operative di intelligence nazionale.

Le analisi più recenti forniscono inoltre indicazioni sulle preferenze di GoldenJackal riguardo ai target in Europa, richiamando l’attenzione sulla loro attività nel contesto della sicurezza informatica globale. Nonostante i tentativi di attribuire le loro azioni a paesi specifici, restano aperte diverse interpretazioni riguardo alla loro origine e alle loro alleanze strategiche. L’osservazione da parte di ESET che il gruppo possa presentare esigenze operative simili a quelli del noto gruppo di hacker Turla, suggerisce un panorama complesso e interconnesso tra le varie entità di minaccia statale, delineando un futuro dove la cybersecurity dovrà continuamente adattarsi a questi sviluppi.

Evoluzione e innovazione nel toolkit del gruppo di hacking

Negli ultimi anni, le capacità del gruppo di hacking GoldenJackal hanno mostrato un’evidente evoluzione, evidenziando un miglioramento significativo nella sofisticazione dei loro strumenti. Nel 2022, questo gruppo ha introdotto un nuovo toolkit, frutto di un approccio molto più specializzato, progettato per attaccare efficacemente sistemi air-gapped. Questa nuova serie di strumenti, sviluppata utilizzando diversi linguaggi di programmazione come Go e Python, ha portato le loro operazioni a un livello superiore, incrementando notevolmente l’abilità di attacco rispetto alle loro versioni precedenti.

Una delle principali innovazioni è rappresentata dalla modularità dell’architettura del nuovo toolkit. GoldenJackal ha iniziato a implementare un approccio altamente modulare, in cui diversi componenti sono designati per assolvere compiti specifici, rendendo tutte le operazioni più flessibili e adattabili. Questo ha permesso di eseguire una varietà di attacchi, dal furto di file sensibili all’installazione di backdoor, utilizzando un insieme differenziato di strumenti che possono essere adattati in base agli obiettivi specifici del colpo.

Il nuovo toolkit comprende diverse componenti avanzate, tra cui GoldenUsbCopy e GoldenUsbGo, strumenti focalizzati sull’acquisizione e l’esfiltrazione dei dati. GoldenUsbCopy, per esempio, è progettato per monitorare l’inserimento di unità USB nei dispositivi air-gapped e, quando identifica tali dispositivi, copia i file in contenitori criptati per una successiva esfiltrazione. D’altro canto, GoldenAce si è rivelato essenziale per la distribuzione di eseguibili dannosi, consentendo una propagazione più efficiente del malware all’interno dell’ambiente attaccato.

Questa evoluzione nei design degli strumenti appare evidenziata dalla strategia di attacco a più livelli che GoldenJackal ha iniziato a impiegare. Non solo i nuovi strumenti sono progettati per infiltrarsi e raccogliere dati, ma sono anche in grado di mantenere il controllo su più dispositivi compromessi, creando una rete di operazioni coordinata. Questa metodologia complessa offre una resilienza notevole, in quanto consente al gruppo di continuare a operare anche in situazioni in cui alcuni moduli sono stati identificati e rimossi.

L’interesse particolare di GoldenJackal per i bersagli europei sottolinea la loro crescente ambizione e la necessità di monitorare continuamente la situazione della cybersecurity nel contesto geopolitico attuale. Le recenti osservazioni suggeriscono che la connessione tra questo gruppo e altri noti attori di minaccia, come Turla, possa indicare una rete di cooperazione e condivisione di strategie all’interno di gruppi di hacking sponsorizzati dallo stato. La continua rilevazione di questi avanzamenti nel toolkit di GoldenJackal non può che evidenziare la necessità per le organizzazioni di potenziare le proprie misure di sicurezza e restare vigili di fronte a queste minacce sempre più sofisticate.

Metodologie di esfiltrazione dei dati

Il processo di esfiltrazione dei dati messo in atto dal gruppo GoldenJackal rappresenta un approccio ingegnoso e altamente strategico per il furto di informazioni da sistemi air-gapped. Questi sistemi, progettati per essere isolati da ogni rete esterna per garantire la sicurezza dei dati, sono stati tradizionalmente ritenuti invulnerabili a determinate forme di attacco. Tuttavia, le metodologie sviluppate da GoldenJackal dimostrano che, con risorse adeguate e competenze tecniche, anche queste barriere possono essere superate.

La catena degli attacchi inizia con l’infezione di un dispositivo connesso a Internet, la cui compromissione non è ancora stata determinata esattamente dai ricercatori. Una volta infiltrato, questo dispositivo infetta qualsiasi unità USB che vi venga inserita. Quando una chiavetta infetta viene poi collegata a un sistema air-gapped, essa non solo raccoglie i dati di interesse, ma immagazzina anche le informazioni in un contenitore criptato per garantirne la sicurezza fino al passaggio successivo.

Il meccanismo di esfiltrazione prevede che, in un secondo momento, la chiavetta infetta venga riconnessa a un dispositivo online, momento in cui i dati raccolti vengono trasferiti a un server controllato dagli aggressori. Questo utilizzo del cosiddetto “air gap” come un canale di trasferimento per i dati rubati sottolinea l’ingegnosità di GoldenJackal, in quanto riescono a bypassare i sistemi di sicurezza di rete che normalmente proteggerebbero i dati sensibili.

Tra gli strumenti specificamente progettati per ottimizzare questo processo, emerge GoldenMailer, che è programmato per allegare i file rubati a email inviate a indirizzi controllati dagli attaccanti. Analogamente, GoldenDrive esegue il caricamento diretto dei file a Google Drive, utilizzando così piattaforme convenzionali per occultare l’attività illecita. Questa versatilità nelle modalità di esfiltrazione rende le operazioni di GoldenJackal tanto efficaci quanto difficili da rilevare, poiché la trasmissione dei dati avviene attraverso canali apparentemente legittimi.

Il toolkit di GoldenJackal comprende anche strumenti come GoldenUsbCopy e GoldenUsbGo, i quali monitorano l’inserimento di dispositivi USB su sistemi air-gapped e facilitano il trasferimento delle informazioni rubate in contenitori protetti. Queste innovazioni sono una chiara indicazione del loro approccio modulare e scalabile, consentendo al gruppo di adattarsi rapidamente e di modificare le strategie di esfiltrazione in funzione delle necessità operative e delle vulnerabilità riscontrate. Questa architettura flessibile indica non solo un pensiero strategico avanzato, ma anche un’intensa attività di progettazione volta a garantire che la raccolta e il trasferimento di dati avvengano in modo da passare inosservati.

Il modello proattivo di GoldenJackal nell’esfiltrazione dei dati pone un serio interrogativo sulla sicurezza dei dati e sull’efficacia delle contromisure attualmente in atto. Organizzazioni e istituzioni, in particolare quelle che operano in contesti ad alto rischio, devono prendere in considerazione queste sofisticate metodologie di attacco e rafforzare le proprie difese per contrastare il crescente livello di complessità nelle operazioni di cyberattacco.

Implicazioni geopolitiche e sicurezza informatica

Le attività di hacking condotte dal gruppo GoldenJackal sollevano importanti questioni geopolitiche, suggerendo l’esistenza di un panorama complesso e interconnesso tra i vari attori statali nel cyberspazio. L’uso di tecniche avanzate per infiltrare sistemi air-gapped, riservati a infrastrutture critiche come quelle governative e diplomatiche, indica che tali attacchi potrebbero non essere solo motivati da interessi di spionaggio, ma anche da una strategia più ampia di destabilizzazione politica o economica.

La natura sofisticata degli strumenti utilizzati da GoldenJackal, unitamente alla loro capacità di evitare il rilevamento, rende il gruppo un avversario formidabile, potenzialmente in grado di compromettere le operazioni di governi e istituzioni di primaria importanza. L’osservazione di target in Europa, accanto a quelli nel Medio Oriente, suggerisce un’espansione dei loro obiettivi, aumentando la preoccupazione nei confronti della sicurezza nazionale di diverse nazioni.

Più in generale, la scoperta di tali strumenti evidenzia la necessità di una risposta coordinata tra le varie nazioni per affrontare le minacce emergenti nel cyberspazio. La creazione di alleanze internazionali, che consentano la condivisione di informazioni e migliori pratiche in ambito di cybersecurity, si fa sempre più cruciale. In particolare, le organizzazioni governative devono collaborare per sviluppare una comprensione comune dell’evoluzione delle tattiche e delle tecniche di attacco, come quelle impiegate da GoldenJackal.

È anche evidente che le istituzioni responsabili della sicurezza informatica devono aggiornare continuamente le loro difese per affrontare queste nuove minacce. Gli attacchi ai sistemi air-gapped dimostrano che anche i protocolli di sicurezza più rigorosi possono essere aggirati, il che implica che le misure di protezione standard non sono più sufficienti. Le istituzioni devono essere pronte a implementare soluzioni innovative e flessibili per adattarsi a un panorama in continua evoluzione.

Inoltre, l’analisi dei legami potenziali tra GoldenJackal e gruppi di hacking già noti, come Turla, porta a interrogarsi sulle dinamiche di cooperazione tra i vari gruppi sponsorizzati da stati. Questa interconnessione può amplificare il rischio di attacchi coordinati, in particolare in contesti geopolitici tesi, dove la competizione per informazioni sensibili è alta. La complessità e la modularità delle strutture degli attacchi suggeriscono, infatti, che il futuro della cybersecurity richiederà un monitoraggio attento e una risposta tempestiva per mitigare i danni potenziali.

Le operazioni condotte da GoldenJackal non rappresentano solo una minaccia per la sicurezza informatica, ma anche un campanello d’allarme per le istituzioni di tutto il mondo. La consapevolezza delle vulnerabilità esistenti e una significativa investmento nelle capacità di difesa diventeranno elementi essenziali per proteggere le risorse critiche in questo clima di crescente pericolo cyber. L’adeguamento delle politiche di sicurezza informatica alle nuove realtà geopolitiche sarà fondamentale per prevenire le conseguenze devastanti di future incursioni digitali.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

Ti potrebbe interessare anche:

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.