近日，網(wǎng)絡(luò)安全公司ESET披露名為GoldenJackal的APT黑客組織使用兩套自定義高端工具成功突破了歐洲政府的多個物理隔離系統(tǒng)，竊取了電子郵件、加密密鑰、圖像、檔案和文檔等大量敏感數(shù)據(jù)。

物理隔離網(wǎng)絡(luò)設(shè)備通常用于高安全性環(huán)境，諸如工業(yè)控制、核電和投票系統(tǒng)等，但GoldenJackal的黑客組織輕松突破了物理隔離這道“最后防線”。ESET報(bào)道稱，2019年GoldenJackal首次針對白俄羅斯南亞某大使館發(fā)起攻擊，三年后他們又入侵了歐盟某政府組織。

用新型U盤病毒突破物理隔離防線

GoldenJackal的黑客工具可以在物理隔離網(wǎng)絡(luò)中執(zhí)行復(fù)雜的文件收集和數(shù)據(jù)外泄操作，而不依賴傳統(tǒng)的聯(lián)網(wǎng)手段。具體攻擊流程如下：首先通過不明方式感染聯(lián)網(wǎng)設(shè)備，受感染設(shè)備又會感染包括U盤在內(nèi)的任何插入的外部驅(qū)動器。當(dāng)受感染的U盤插入隔離系統(tǒng)時，會收集和存儲感興趣的數(shù)據(jù)。最后，當(dāng)驅(qū)動器再次插入聯(lián)網(wǎng)設(shè)備時，數(shù)據(jù)會被自動（通過電子郵件或網(wǎng)盤）傳輸?shù)焦粽呖刂频姆?wù)器。

此次發(fā)現(xiàn)GoldenJackal攻擊活動的網(wǎng)絡(luò)安全公司ESET指出，GoldenJackal的工具集具有高度模塊化的特點(diǎn)，不同模塊執(zhí)行不同任務(wù)。比如，一個模塊專門負(fù)責(zé)監(jiān)控USB設(shè)備的插入，并復(fù)制文件到加密容器中；另一個模塊則用于在物理隔離網(wǎng)絡(luò)中的本地服務(wù)器上傳遞惡意文件。此外，這些模塊能夠動態(tài)組合，適應(yīng)不同的攻擊目標(biāo)和場景，增加了攻擊的靈活性和隱蔽性。

在2022年針對歐盟政府組織的攻擊中，GoldenJackal開始使用一種新的自定義工具包。新版本使用多種編程語言編寫，包括Go和Python，采用了更加專業(yè)的方法。它為不同類型的受感染設(shè)備分配不同的任務(wù)，并編排了更大的模塊陣列，這些模塊可以根據(jù)攻擊者對象進(jìn)行混合和匹配，以進(jìn)行不同的感染。

GoldenJackal最新工具集中的組件

該攻擊套件自2019年起持續(xù)迭代，表明GoldenJackal開發(fā)人員的技術(shù)正不斷成熟。第一代套件提供了全套功能，包括：

• GoldenDealer，是一個通過USB驅(qū)動器向隔離系統(tǒng)傳送惡意可執(zhí)行文件的組件
• GoldenHowl，一種包含多種模塊的后門，具有多種惡意功能
• GoldenRobo，一款文件收集器和文件提取器

卡巴斯基在2023年的研究中發(fā)現(xiàn)該攻擊套件增添了很多新工具，包括：

• JackalControl，一個后門程序
• JackalSteal，一個文件收集器和提取器
• JackalWorm，用于通過USB驅(qū)動器傳播其他JackalControl和其他惡意組件

所有工具相關(guān)攻擊指標(biāo)(IoC)的完整列表可查看以下GitHub地址：

https://github.com/eset/malware-ioc/tree/master/goldenjackal

物理隔離難阻“黑客國家隊(duì)”

通常來說，物理隔離攻擊工具的開發(fā)成本極高而且周期漫長，此次ESET曝光GoldenJackal在短短五年內(nèi)開發(fā)出兩個業(yè)界從未見過的物理隔離攻擊工具，表明該黑客組織不但有國家資源支持，而且極具天賦和創(chuàng)造性。

GoldenJackal的攻擊活動被多個安全公司關(guān)注，但目前尚無確切證據(jù)將其歸因?yàn)樘囟▏业暮诳徒M織。ESET與卡巴斯基的研究發(fā)現(xiàn)，GoldenJackal的部分工具與此前被追蹤的“Turla”黑客組織有相似之處，表明他們可能與俄羅斯的國家情報(bào)機(jī)構(gòu)有聯(lián)系。此外，卡巴斯基還檢測到GoldenJackal曾在中東地區(qū)對多個國家的政府機(jī)構(gòu)和通信公司發(fā)起攻擊，而ESET則發(fā)現(xiàn)其攻擊范圍擴(kuò)展到了歐洲。

GoldenJackal的活躍攻擊凸顯了國家級黑客組織對高價值目標(biāo)的興趣，特別是那些具備國家安全意義的隔離網(wǎng)絡(luò)系統(tǒng)。這類攻擊不僅需要高水平的技術(shù)能力，還需要巨大的資源投入，因此通常由具有國家背景的黑客團(tuán)體發(fā)起。

卡巴斯基研究人員Raiu表示，該工具的曝光足以引起各國使館和政府CERT安全人員的警惕，此外，這個高度復(fù)雜的工具集以及其針對不同目標(biāo)的靈活部署能力，使其對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全也構(gòu)成重大威脅。

此次事件再次提醒各國政府和企業(yè)，在保護(hù)物理隔離網(wǎng)絡(luò)時，必須高度警惕USB等設(shè)備被利用成為攻擊介質(zhì)。同時，這也表明即使是最為安全的網(wǎng)絡(luò)架構(gòu)，在面對國家級黑客組織時，依然存在被攻破的可能性。網(wǎng)絡(luò)安全人員需要不斷更新防御策略，尤其是在關(guān)鍵基礎(chǔ)設(shè)施和政府機(jī)構(gòu)中，強(qiáng)化物理隔離網(wǎng)絡(luò)的安全措施，防止類似攻擊的發(fā)生。