Das neu entdeckte Toolkit besteht aus vielen verschiedenen Bausteinen, die in mehreren Sprachen und mit mehreren Funktionen geschrieben sind. Das übergeordnete Ziel scheint eine erhöhte Flexibilität und Widerstandsfähigkeit für den Fall zu sein, dass ein Modul vom Ziel erkannt wird.
„Ihr Ziel ist es, Daten aus isolierten Systemen zu erhalten und so weit wie möglich unter dem Radar zu bleiben“, schrieb Costin Raiu, ein Forscher, der bei Kaspersky arbeitete, als das Unternehmen GoldenJackal untersuchte, in einem Interview. „Mehrere Exfiltrationsmechanismen weisen auf einen sehr flexiblen Werkzeugkasten hin, der sich an alle Arten von Situationen anpassen kann. Diese vielen Tools weisen darauf hin, dass es sich um ein hochgradig anpassbares Framework handelt, in dem sie genau das bereitstellen, was sie benötigen, und nicht um eine Allzweck-Malware, die alles kann.
Eine weitere neue Perspektive, die die Forschung von ESET bietet, ist das Interesse von GoldenJackal an Zielen in Europa. Kaspersky-Forscher entdeckten, dass die Gruppe Länder im Nahen Osten im Visier hatte.
Basierend auf den Informationen, die Kaspersky hatte, konnten die Forscher des Unternehmens GoldenJackal keinem bestimmten Land zuordnen. Auch ESET konnte das Land nicht eindeutig identifizieren, fand jedoch einen Hinweis darauf, dass die Bedrohungsgruppe möglicherweise eine Verbindung zu Turla hat, einer mächtigen Hackergruppe, die im Auftrag des russischen Geheimdienstes FSB arbeitet. Der Link erfolgt in Form eines Befehls- und Kontrollprotokolls in GoldenHowl mit dem Namen transport_http. Der gleiche Ausdruck findet sich in Malware, die bekanntermaßen von Turla stammt.
Raiu sagte, der hochgradig modulare Ansatz erinnere auch an Roter Oktober, eine 2013 entdeckte ausgeklügelte Spionageplattform, die Hunderte von diplomatischen, staatlichen und wissenschaftlichen Organisationen in mindestens 39 Ländern ins Visier nahm, darunter die Russische Föderation, den Iran und die Vereinigten Staaten.
Obwohl ein Großteil des Berichts vom Dienstag technische Analysen enthält, die für viele Menschen wahrscheinlich zu weit fortgeschritten sind, um sie zu verstehen, liefert er wichtige neue Informationen, die das Verständnis von Malware, die darauf abzielt, Luftlöcher zu überspringen, sowie von Taktiken, Techniken und Verfahren derjenigen, die sie verwenden, vertiefen. Der Bericht wird auch für diejenigen nützlich sein, die für den Schutz der Arten von Organisationen verantwortlich sind, die am häufigsten von staatlichen Gruppen angegriffen werden.
„Ich würde sagen, es ist besonders interessant für Sicherheitsbeamte, die in Botschaften und Regierungs-CERTs arbeiten“, sagte Raiu. „Sie müssen diese TTPs überprüfen und in Zukunft überwachen. Wenn Sie jemals ein Opfer von Turla oder Roter Oktober geworden wären, würde ich danach Ausschau halten.
Diese Geschichte wurde ursprünglich auf veröffentlicht Ars Technica.