A nova descoberta de ferramentas é composta por vários blocos de construção diferentes, escritos em várias línguas e com diversas capacidades. O objetivo geral parece ser aumentar a flexibilidade e a resiliência no caso de um dos módulos ser detectado pelo alvo.
“O objetivo deles é obter dados difíceis de obter de sistemas de ‘air-gapped’ e ficar sob o radar o máximo possível”, disse Costin Raiu, um pesquisador que trabalhou na Kaspersky na época em que estava pesquisando o GoldenJackal, em entrevista. “Múltiplos mecanismos de exfiltração indicam um kit de ferramentas muito flexível que pode lidar com todos os tipos de situações. Essas diversas ferramentas indicam que é um framework altamente personalizável onde eles implementam exatamente o que precisam, ao invés de um malware multipropósito que pode fazer qualquer coisa.”
Outras novas informações oferecidas pela pesquisa da ESET são o interesse do GoldenJackal por alvos localizados na Europa. Pesquisadores da Kaspersky detectaram o grupo mirando países do Oriente Médio.
Com base nas informações disponíveis para a Kaspersky, os pesquisadores da empresa não conseguiram atribuir o GoldenJackal a nenhum país específico. A ESET também não conseguiu identificar definitivamente o país, mas encontrou uma pista de que o grupo de ameaças pode ter alguma ligação com Turla, um grupo de hackers potente que trabalha em nome da agência de inteligência FSB da Rússia. A conexão vem na forma de um protocolo de comando e controle no GoldenHowl referido como transport_http. A mesma expressão é encontrada em malware conhecido por ter origem com o Turla.
Raiu disse que a abordagem altamente modular também lembra a Red October, uma plataforma de espionagem elaborada descoberta em 2013 que mirava centenas de organizações diplomáticas, governamentais e científicas em pelo menos 39 países, incluindo a Federação Russa, Irã e Estados Unidos.
Embora grande parte do relatório de terça-feira contenha análises técnicas que provavelmente são avançadas demais para muitas pessoas entenderem, ele fornece importantes novas informações que aprofundam os insights sobre malware projetado para pular as lacunas de ar e as táticas, técnicas e procedimentos daqueles que o utilizam. O relatório também será útil para as pessoas responsáveis por proteger os tipos de organizações mais frequentemente visadas por grupos patrocinados por Estados.
“Eu diria que isso é principalmente interessante para profissionais de segurança que trabalham em embaixadas e CERTs governamentais”, disse Raiu. “Eles precisam verificar essas TTPs e ficar de olho nelas no futuro. Se você já foi vítima do Turla ou do Red October anteriormente, eu manteria um olho nisso.”
