Nowo odkryty zestaw narzędzi składa się z wielu różnych elementów, napisanych w wielu językach i z wieloma możliwościami. Ogólnym celem wydaje się być zwiększona elastyczność i odporność w przypadku wykrycia jednego modułu przez cel.
„Ich celem jest uniemożliwienie uzyskania danych z systemów znajdujących się w szczelinach powietrznych i jak najdłuższe pozostawanie poza radarem” – napisał w wywiadzie Costin Raiu, badacz, który pracował w firmie Kaspersky w czasie, gdy ta badała GoldenJackal. „Wiele mechanizmów eksfiltracji wskazuje na bardzo elastyczny zestaw narzędzi, który można dostosować do różnych sytuacji. Te liczne narzędzia wskazują, że jest to środowisko o dużych możliwościach dostosowywania, w którym wdrażane jest dokładnie to, czego potrzeba, w przeciwieństwie do wielozadaniowego złośliwego oprogramowania, które może zrobić wszystko”.
Inne nowe spostrzeżenia wynikające z badania ESET to zainteresowanie GoldenJackal celami zlokalizowanymi w Europie. Badacze z firmy Kaspersky wykryli grupę atakującą kraje Bliskiego Wschodu.
Na podstawie informacji, którymi dysponował Kaspersky, badacze firmy nie byli w stanie przypisać GoldenJackala do żadnego konkretnego kraju. ESET również nie był w stanie ostatecznie zidentyfikować kraju, ale znalazł jedną wskazówkę, że grupa zagrażająca może mieć powiązania z Turlą, potężną grupą hakerską działającą w imieniu rosyjskiej agencji wywiadowczej FSB. Remis ma postać protokołu dowodzenia i kontroli w GoldenHowl określanego jako transport_http. To samo wyrażenie można znaleźć w złośliwym oprogramowaniu, o którym wiadomo, że pochodzi z Turla.
Raiu powiedział, że przypomina to również wysoce modułowe podejście Czerwony październikto skomplikowana platforma szpiegowska odkryta w 2013 r., której celem są setki organizacji dyplomatycznych, rządowych i naukowych w co najmniej 39 krajach, w tym w Federacji Rosyjskiej, Iranie i Stanach Zjednoczonych.
Chociaż znaczna część wtorkowego raportu zawiera analizę techniczną, która prawdopodobnie będzie zbyt zaawansowana, aby wiele osób mogła ją zrozumieć, dostarcza ona ważnych nowych informacji, które pogłębiają wiedzę na temat złośliwego oprogramowania zaprojektowanego w celu omijania luk powietrznych oraz taktyk, technik i procedur stosowanych przez osoby go korzystające. Raport będzie także przydatny dla osób odpowiedzialnych za ochronę typów organizacji, które są najczęściej celem ataków grup z państw narodowych.
„Powiedziałbym, że jest to szczególnie interesujące dla pracowników ochrony pracujących w ambasadach i rządowych CERTach” – powiedział Raiu. „Muszą sprawdzić te TTP i mieć na nie oko w przyszłości. Jeśli byłeś wcześniej ofiarą Turli lub Czerwonego Października, zwróciłbym na to uwagę.”
Ta historia pierwotnie pojawiła się w Ars Technica.
