ESET ha evidenziato un dettaglio importante riguardo un recente attacco hacker. Quest’ultimo evidenzia come basti poco per riuscire a superare anche le difese più avanzate. L’analisi condotta fa riferimento ad alcuni attacchi informativi del gruppo di cyberspionaggio GoldenJackal. Il gruppo è riuscito ad attaccare un’organizzazione governativa europea utilizzato alcune unità USB precedentemente compromesse.
Sono diverse le campagne perpetuate dal gruppo hacker. Uno degli attacchi riscontrati da ESET ha scovato, 2019, alcuni strumenti di GoldenJackal all’interno di un’ambasciata sud–asiatica in Bielorussia.
Scovati dettagli su un nuovo attacco hacker
Nella campagna in Bielorussia sono stati scovati dei componenti principali che sono stati utilizzati. Nello specifico sono tre. Si tratta di GoldenDealer, ovvero uno strumento-malware. C’è poi GoldenHowl, una backdoor modulare. Si tratta di un programma in grado di fornire agli hacker di controllare sistemi a distanza per portare avanti il proprio attacco. Infine, è presente GoldenRobo, utilizzato soprattutto per raccogliere file dai dispositivi compromessi.
Ma come funziona l’attacco di questi hacker? Secondo quanto spiegato da Matías Porolli, uno dei ricercatori ESET, quando le vittime inseriscono l’unità USB compromessa e cliccano su una componente che ha l’icona di una cartella installano GoldenDealer. La cartella, infatti, è un componente dannoso che fornisce il via libera per raccogliere informazioni dal sistema colpito.
Quando l’unità viene introdotta in un computer connesso, procede inviando le informazioni raccolte ad un server C&C. Infine, c’è un ulteriore passaggio che avviene quando l’unità è inserita nel sistema air-gapped. Ovvero GoldenDealer avvia gli eseguibili prelevati dall’unità. Non sono necessari interventi da parte degli utenti perché lo strumento malware è già in azione e permette agli hacker di agire indisturbati nel loro attacco.
Al momento non è chiaro se l’utente che ha inserito la l’unità USB sia una vittima o un complice del gruppo. Ciò che è certo che è un errore collegare questo tipo di dispositivi a computer con sistemi air-gapped. Ciò soprattutto se si considera che la provenienza di tali unità risulta essere incerta.
