O platformă rară de spionaj cibernetic putea fura informații din lista de așteptare a imprimantei

de Vlad Barza     HotNews.ro
Joi, 11 aprilie 2019, 15:15 Economie | IT


Imprimante
Foto: Flickr
Cercetătorii Kaspersky Lab au descoperit o infrastructură complexă de spionaj cibernetic, activă cel puțin din 2013 și care nu pare să aibă legătură cu niciun grup cunoscut de atacatori. Platforma, pe care cercetătorii au numit-o TajMahal, conține în jur de 80 de module malware și funcționalități care nu au mai fost văzute niciodată la un grup APT, cum ar fi abilitatea de a fura informații din lista de așteptare a imprimantei și fișiere de pe un dispozitiv USB data viitoare când USB-ul este conectat la computer.

Kaspersky Lab a văzut până acum o singură victimă, o ambasadă din Asia Centrală, dar este posibil ca și alte instituții să fi fost afectate.

Cercetătorii Kaspersky Lab au descoperit TajMahal la sfârșitul anului 2018. Aceasta este o operațiune APT complexă din punct de vedere tehnic, proiectată pentru acțiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată și folosită timp de cel puțin cinci ani, cea mai veche mostră datând din aprilie 2013 și cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fișierului utilizat pentru a extrage datele furate.

Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite „Tokyo" și „Yokohama".

”Tokyo” este cel mai mic dintre cele două, cu aproximativ trei module. Acesta conține funcționalitatea backdoor principală și se conectează periodic la serverele de comandă și control. ”Tokyo” utilizează PowerShell și rămâne în rețea chiar și după ce operațiunea a trecut la etapa a doua.

Etapa a doua este reprezentată de pachetul Yokohama: o infrastructură de spionaj completă. Yokohama include un sistem de fișiere virtuale (VFS) cu toate plugin-urile, resurse proprii și open source și fișiere de configurare. Există aproape 80 de module în total, care conțin loaders, sisteme de comandă și control, sisteme de înregistrare audio, keyloggers, sisteme de copiat ecranul și camera web, sisteme care pot fura documente și chei de criptare.

TajMahal poate, de asemenea, să fure cookie-urile de browser, să obțină lista de backup pentru dispozitive mobile Apple, să fure datele de pe un CD realizat de o victimă, precum și documente aflate pe lista de așteptare a imprimantei. De asemenea, poate solicita furtul unui anumit fișier de pe un stick USB văzut anterior, iar fișierul va fi copiat data viitoare când USB-ul este conectat la computer.

Sistemele vizate, descoperite de Kaspersky Lab, au fost infectate atât cu Tokyo, cât și cu Yokohama. Acest lucru sugerează că Tokyo a fost folosit ca o primă etapă de infectare, lansând pachetul complet funcțional Yokohama pe dispozitivele victimelor interesante și apoi lăsat acolo, ca backup.
Până acum, a fost observată o singură victimă - o entitate diplomatică din Asia Centrală, infectată înainte de 2014. Vectorii de distribuție și infectare pentru TajMahal sunt în prezent necunoscuți.

„Platforma TajMahal este o descoperire foarte interesantă. Are o complexitate tehnică indubitabilă și funcționalități pe care nu le-am mai văzut până acum la atacatorii avansați. După această descoperire, rămân o serie de întrebări. De exemplu, pare foarte puțin probabil ca o astfel de investiție uriașă să se realizeze pentru o singură victimă. Acest lucru sugerează că există încă victime care nu au fost încă identificate sau versiuni suplimentare ale acestui malware sau, eventual, ambele ipoteze.

Vectorii de distribuție și infectare pentru această amenințare rămân, de asemenea, necunoscuți. Cumva, a rămas nedescoperită timp de peste cinci ani. Dacă acest lucru se datorează relativei inactivități relative sau altui fapt, iată o altă întrebare interesantă. Nu există indicii pentru a face o atribuire și nici legături detectabile cu alte grupuri cunoscute", explică Alexey Shulmin, lead malware analyst la Kaspersky Lab.


Citeste mai multe despre   





Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.






4583 vizualizari

  • +1 (5 voturi)    
    hmm (Joi, 11 aprilie 2019, 15:26)

    Nevermind [utilizator]

    Rusnaci tupiesti. "Nu" stiam de ce se duce campanie impotriva lor :D
    • +1 (5 voturi)    
      Posibil, desigur, dar personal nu cred ca Rusii (Joi, 11 aprilie 2019, 15:57)

      Habermas [utilizator] i-a raspuns lui Nevermind

      ar baga bani in asa ceva. Nu este stilul lor. Ei baga bani acolo unde pot obtine si influenta (mascata, de obicei; omul lor), nu numai informatii; sau eventual sa provoace daune cat mai mari.

      Pentru mine, chestia asta este o chinezarie.

      Dar sunt de acord cu tine ca daca ar fi fost Rusii Karspesky ar fi avut tupeul sa vina cu astfel de stire (etc).
  • +2 (6 voturi)    
    Nu aveti indicii? Va dau eu: (Joi, 11 aprilie 2019, 15:39)

    Habermas [utilizator]

    Imprimante made in China si angajati chinezi foarte devotati sefului, (eventual foarte harnici) si buni la toate.
    • -1 (5 voturi)    
      daaaa (Joi, 11 aprilie 2019, 16:25)

      Nevermind [utilizator] i-a raspuns lui Habermas

      Ei au facut si Stuxnet, prima folosire documentata, din cate stiu, a unui virus pe post de arma de catre un stat. Bine, de catre state, ca au fost 2 implicate in cazul asta, deci adauga Coreea de Nord langa China. Niste nenorociti periculosi...
    • -1 (5 voturi)    
      4, stai jos (Joi, 11 aprilie 2019, 16:30)

      81ack [utilizator] i-a raspuns lui Habermas

      n-ai înțeles nimic... powershell nu rulează pe imprimante.


Abonare la comentarii cu RSS

ESRI

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.

Aici puteti modifica setarile de Cookie

hosted by
powered by
developed by
mobile version