Siber güvenlik dünyası, izole sistemleri hedef alan sofistike saldırılara bir yenisini daha ekledi. ESET araştırmacıları, GoldenJackal adlı gelişmiş kalıcı tehdit (APT) grubunun, özellikle internete bağlı olmayan yüksek profilli makinelerden gizli bilgileri çalmak için karmaşık bir araç seti kullandığını ortaya çıkardı. Bu grup, Ağustos 2019’dan bu yana Belarus’taki bir Güney Asya büyükelçiliğini ve Mayıs 2022 ile Mart 2024 arasında Avrupa Birliği’ndeki bir devlet kurumunu hedef aldı.
GoldenJackal, izole sistemlere yönelik saldırılarında dikkat çeken bir modüler araç seti kullanıyor. Özellikle izole sistemleri tehlikeye atmak, internete bağlı sistemlere sızmaktan çok daha zorlu bir süreç olduğundan, bu tür saldırılar genellikle kaynak ve beceri gerektiriyor. ESET’in sunduğu son bulgular, 2024 Virus Bulletin konferansında kamuoyuna duyuruldu.
GoldenJackal’ın Kullandığı Araç Setleri
APT grupları, son derece hassas bilgileri ele geçirmek için genellikle hava boşluklu, diğer ağlardan tamamen izole edilmiş sistemleri hedef alıyor. GoldenJackal da bu sistemlere yönelik saldırılarında GoldenDealer, GoldenHowl ve GoldenRobo adlı araç setlerini kullanıyor. Bu araçlar, USB sürücüsü aracılığıyla izole sistemlere sızma, bilgileri toplama ve bunları internete bağlı cihazlar üzerinden dışarıya sızdırma yeteneğine sahip.
ESET araştırmacısı Matías Porolli, “GoldenDealer, izole sistemler hakkında bilgi toplamaya başlar ve bunları USB sürücüsünde depolar. Sürücü tekrar internete bağlı bilgisayara takıldığında GoldenDealer USB sürücüsünden ağdan izole bilgisayar hakkındaki bilgileri alır ve C&C sunucusuna gönderir. Son olarak, sürücü tekrar izole PC’ye takıldığında GoldenDealer sürücüden yürütülebilir dosyaları alır ve çalıştırır. GoldenDealer zaten çalıştığı için kullanıcı etkileşimine gerek yoktur” ifadelerini kullandı.
GoldenJackal’ın son saldırılarında eski araç setlerini daha ileri seviyede modüler bir yapıya dönüştürdüğü gözlemlendi. Bu yeni sistem, ele geçirilen ana bilgisayarlar üzerinden gizli bilgileri toplama, dosyaları diğer sistemlere dağıtma ve bu verileri dışarıya sızdırma gibi farklı işlevler üstleniyor.
GoldenJackal, beş yıllık süreçte izole sistemlere karşı iki ayrı araç seti geliştirerek ne kadar becerikli ve tehlikeli bir APT grubu olduğunu bir kez daha kanıtladı. Avrupa ve Orta Doğu’daki hükümetler, bu tür saldırılara karşı daha güçlü önlemler almak zorunda.