أعلنت كاسبرسكي الشركة الرائدة والمتخصصة في مجال الأمن الإلكتروني والخصوصية الرقمية عن اكتشاف عصابة جديدة من مجرمي الإنترنت تحمل اسم «غولدن جاكال»، تبين أنها تنشط منذ عام 2019، لكنها لا تحمل ملفاً تعريفياً عاماً، بقيت تعمل خلف الكواليس. وبناءً على المعطيات التي خرج بها التحقيق، فقد تبين أن هذه العصابة تستهدف عادة الكيانات الحكومية والدبلوماسية في الشرق الأوسط وجنوب آسيا.
وبدأت كاسبرسكي، بمراقبة هذه العصابة في منتصف العام 2020، ولاحظت أنشطة بانتظام، بعد أن تبيّن لها وجود جهة فاعلة قادرة على التخفي بشكل دائم.
ومن أهم الميزات التي تتسم بها العصابة، استخدام مجموعة أدوات محددة تركز على التحكم في أجهزة ضحاياها، والانتشار عبر الأنظمة باستخدام محركات أقراص قابلة للإزالة، إضافة إلى تهريب ملفات معينة منهم، في إشارة قاطعة إلى أن التجسس يعتبر المهمة الأساسية التي تقوم بها.
وأظهر تحقيق كاسبرسكي أن العصابة تستخدم أدوات تثبيت وهمية لبرنامج الاتصال «سكايب»، إضافة إلى وثائق خبيثة بنسق «وورد» كنواقل أولية لهجماتهم. وكانت أدوات تثبيت «سكايب» المزيفة عبارة عن ملف قابل للتنفيذ يبلغ حجمه 400 ميغابايت تقريباً. أما الملف فهو عبارة عن برنامج مساعد صغير الحجم يحتوي على مصدرين، وهما: تروجان يحمل اسم «جاكال كونترول»، إضافة إلى مثبت سكايب مستقل للأعمال التجارية. وتم تتبع أول استخدام لهذه الأداة حتى عام 2020، بينما كان ناقل العدوى الآخر عبارة عن مستند خبيث يستخدم تقنية الحقن عن بُعد لتنزيل صفحة HTML خبيثة، ويستغل ثغرة تسمى Follina.
ويسمح تروجان الرئيسي «جاكال كونترول» للمهاجمين بالتحكم في الجهاز المستهدف عن بُعد، ويوظفون في هذه العملية مجموعة من الأوامر المحددة والمدعومة مسبقاً. وقام المهاجمون على مر السنين بتوزيع أنواع مختلفة من هذه البرامج الخبيثة، إذ يتضمن بعضها رمزاً للحفاظ على الثبات، بينما تم إنشاء البعض الآخر لغرض التشغيل من دون إصابة النظام. وعادةً ما يصاب الجهاز بمكونات أخرى، مثل برنامج حزمة النص.
وتوجد هناك أداة مهمة ثانية تستخدمها عصابة «غولدن جاكال» GoldenJackal، وهي «جاكال ستيل»JackalSteal التي يمكن استخدامها لمراقبة محركات الأقراص USB القابلة للإزالة والمشاركة عن بُعد، إضافة إلى جميع محركات الأقراص المنطقية في النظام المستهدف. ويمكن أن تعمل البرامج الخبيثة كعملية قياسية أو كخدمة، وبما أنها لا تتمكن من الحفاظ على الثبات، يستدعى الأمر الاستعانة بمكوّن آخر من أجل تثبيتها.
وتستخدم «غولدن جاكل» أيضاً عدداً من الأدوات الإضافية، ومنها JackalWorm و JackalPerInfo و JackalScreenWatcher، حيث تقوم بنشرها في حالات محددة تمكن باحثو كاسبرسكي من رصدها، وتهدف تحديداً إلى التحكم في أجهزة الضحايا، وسرقة بيانات اعتمادهم، وتصوير لقطات لسطح المكتب وما إلى ذلك، بينما يبقى التجسس الهدف النهائي لهذه العصابة.
ولتفادي مخاطر الهجمات المستهدفة التي تشنها جهات تهديد معروفة أو غير معروفة، أوصى باحثو كاسبرسكي بضرورة الارتقاء بمهارات فريق الأمن السيبراني من خلال التعليم والتدريب للتعامل مع أحدث التهديدات المستهدفة.
