Cercetătorii Kaspersky Lab au descoperit o infrastructură complexă de spionaj cibernetic, activă cel puțin din 2013 și care nu pare să aibă legătură cu niciun grup cunoscut de atacatori. Platforma, pe care cercetătorii au numit-o TajMahal, conține în jur de 80 de module malware și funcționalități care nu au mai fost văzute niciodată la un grup APT, cum ar fi abilitatea de a fura informații din lista de așteptare a imprimantei și fișiere de pe un dispozitiv USB data viitoare când USB-ul este conectat la computer.
Kaspersky Lab a văzut până acum o singură victimă, o ambasadă din Asia Centrală, dar este posibil ca și alte instituții să fi fost afectate.
Cercetătorii Kaspersky Lab au descoperit TajMahal la sfârșitul anului 2018. Aceasta este o operațiune APT complexă din punct de vedere tehnic, proiectată pentru acțiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată și folosită timp de cel puțin cinci ani, cea mai veche mostră datând din aprilie 2013 și cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fișierului utilizat pentru a extrage datele furate.
Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite „Tokyo" și „Yokohama".
”Tokyo” este cel mai mic dintre cele două, cu aproximativ trei module. Acesta conține funcționalitatea backdoor principală și se conectează periodic la serverele de comandă și control. ”Tokyo” utilizează PowerShell și rămâne în rețea chiar și după ce operațiunea a trecut la etapa a doua.
Etapa a doua este reprezentată de pachetul Yokohama: o infrastructură de spionaj completă. Yokohama include un sistem de fișiere virtuale (VFS) cu toate plugin-urile, resurse proprii și open source și fișiere de configurare. Există aproape 80 de module în total, care conțin loaders, sisteme de comandă și control, sisteme de înregistrare audio, keyloggers, sisteme de copiat ecranul și camera web, sisteme care pot fura documente și chei de criptare.
TajMahal poate, de asemenea, să fure cookie-urile de browser, să obțină lista de backup pentru dispozitive mobile Apple, să fure datele de pe un CD realizat de o victimă, precum și documente aflate pe lista de așteptare a imprimantei. De asemenea, poate solicita furtul unui anumit fișier de pe un stick USB văzut anterior, iar fișierul va fi copiat data viitoare când USB-ul este conectat la computer.
Sistemele vizate, descoperite de Kaspersky Lab, au fost infectate atât cu Tokyo, cât și cu Yokohama. Acest lucru sugerează că Tokyo a fost folosit ca o primă etapă de infectare, lansând pachetul complet funcțional Yokohama pe dispozitivele victimelor interesante și apoi lăsat acolo, ca backup.
Până acum, a fost observată o singură victimă - o entitate diplomatică din Asia Centrală, infectată înainte de 2014. Vectorii de distribuție și infectare pentru TajMahal sunt în prezent necunoscuți.
„Platforma TajMahal este o descoperire foarte interesantă. Are o complexitate tehnică indubitabilă și funcționalități pe care nu le-am mai văzut până acum la atacatorii avansați. După această descoperire, rămân o serie de întrebări. De exemplu, pare foarte puțin probabil ca o astfel de investiție uriașă să se realizeze pentru o singură victimă. Acest lucru sugerează că există încă victime care nu au fost încă identificate sau versiuni suplimentare ale acestui malware sau, eventual, ambele ipoteze.
Vectorii de distribuție și infectare pentru această amenințare rămân, de asemenea, necunoscuți. Cumva, a rămas nedescoperită timp de peste cinci ani. Dacă acest lucru se datorează relativei inactivități relative sau altui fapt, iată o altă întrebare interesantă. Nu există indicii pentru a face o atribuire și nici legături detectabile cu alte grupuri cunoscute", explică Alexey Shulmin, lead malware analyst la Kaspersky Lab.
2
3
