Ein kürzlich veröffentlichter Bericht des IT-Sicherheitsunternehmens ESET weist auf eine Zunahme von Cyberangriffen durch den Cyberakteur GoldenJackal hin. Diese Gruppe, die seit mindestens 2019 aktiv ist, hat es auf Regierungs- und diplomatische Einrichtungen in Europa, dem Nahen Osten und Südasien abgesehen. Besonders besorgniserregend ist ihre Fähigkeit, Air Gap-Systeme zu kompromittieren - also Netzwerke, die physisch vom Internet getrennt sind und daher als besonders sicher gelten. Zum Schutz vor Cyberbedrohungen werden solche Systeme vor allem in Hochrisikobranchen eingesetzt.
Beobachtungen
Laut ESET standen zwischen 2019 und 2024 eine südasiatische Botschaft in Weißrussland sowie eine europäische Regierungsorganisation im Fokus der Angreifer. Der Cyberakteur hatte es höchstwahrscheinlich auf vertrauliche und hochsensible Regierungsdokumente und Kommunikationsprotokolle abgesehen.
Hintergrund und Methoden
Nach Einschätzung von ESET verwendet GoldenJackal für seine Angriffe ein hochentwickeltes, modulares Toolkit. Dabei setzt der Cyberakteur maßgeschneiderte Malware ein. Zunächst wird ein mit dem Internet verbundenes System mittels Malware infiziert, die sich automatisch auf angeschlossene USB-Laufwerke kopiert und die Kommunikation mit einem C2-Server herstellt. Wird das USB-Laufwerk dann an ein Air Gap-System angeschlossen, infiziert es dieses automatisch und sammelt relevante Daten, die dann beim erneuten Anschließen and das Ursprungssystem zum C2-Server übertragen werden können.
Attribution
Die Aktivitäten von GoldenJackal können derzeit keinem bestimmten Staat zugeordnet werden. Bei der Analyse der Malware haben die Sicherheitsforscher von ESET jedoch Hinweise erhalten, die auf einen russischen Ursprung hindeuten könnten. Aufgrund der hohen technischen Fähigkeiten, der Opferfläche und des Aufklärungsinteresses ist aus Sicht der Cyberabwehr von einem staatlich gesteuerten Hintergrund auszugehen.
Empfehlungen
Aufgrund der Fähigkeiten des Cyberakteuers sowie seines Aufklärungsinteresses stellt er eine Bedrohung - auch für deutsche Stellen in Wirtschaft und Wissenschaft sowie Politik und Verwaltung dar. Der Bericht von ESET bietet einen detaillierten Überblick über die Fähigkeiten des Angreifers und stellt Informationen zur Vorgehensweise sowie Indikatoren zur Sicherung der eigenen Netze und Abwehr eventueller Angriffe bereit. Die Cyberabwehr rät daher zur Prüfung der eigenen Systeme anhand der im Bericht zur Verfügung gestellten Indicators of Compromise (IOC).