Kolejny Tadż Mahal

Nowe zagrożenie to nie tylko zestaw backdoorów, ale również wysokiej jakości i zaawansowana technicznie platforma szpiegowska.

Pod koniec 2018 roku zidentyfikowaliśmy atak na organizację dyplomatyczną należącą do kraju środkowoazjatyckiego. Dyplomaci i ich systemy informacyjne i tak przyciągają uwagę różnych sił politycznych, jednak w tym przypadku najciekawsze jest użyte narzędzie: nowa platforma służąca do przeprowadzania długotrwałych ataków ukierunkowanych, o nazwie TajMahal.

TajMahal to nie tylko zestaw backdoorów, ale również wysokiej jakości i zaawansowana technicznie platforma szpiegowska zawierająca różne wtyczki (do tej pory nasi eksperci znaleźli 80 szkodliwych modłów), umożliwiające realizację różnych scenariuszy ataku z użyciem rozmaitych narzędzi. Według naszych ekspertów TajMahal działał w ciągu ostatnich pięciu lat, a fakt, że do dziś potwierdzona jest tylko jedna ofiara, sugeruje, że reszta nie została jeszcze zidentyfikowana.

Jak działa TajMahal?

Platforma ta składa się z dwóch głównych części: Tokyo i Yokohama. Obie zostały wykryte na wszystkich zainfekowanych komputerach. Tokyo jest głównym backdoorem i dostarcza szkodliwy program stanowiący drugi etap. Co ciekawe, pozostaje on w systemie nawet wtedy, gdy zaczyna się drugi etap – Yokohama – działając jako dodatkowy kanał komunikacji. Tymczasem Yokohama tworzy wirtualny system plików z wtyczkami, obce biblioteki i pliki konfiguracyjne. Jego zadania są bardzo urozmaicone i obejmują:

  • kradzież ciasteczek,
  • przechwytywanie dokumentów z kolejek wydruku,
  • gromadzenie danych na temat ofiary (w tym listę kopii zapasowych urządzeń z systemem iOS),
  • nagrywanie dźwięku i obrazu z połączeń VoIP,
  • kradzież obrazów z dysków utworzonych przez ofiarę,
  • indeksowanie plików, w tym znajdujących się na dyskach zewnętrznych, jak również potencjalna kradzież określonych plików po ponownym wykryciu dysku.

Wniosek

Fakt, że TajMahal jest skomplikowanym technicznie zagrożeniem, czyni z niego bardzo niepokojące odkrycie, a liczba zidentyfikowanych ofiar prawdopodobnie wzrośnie. Produkty Kaspersky Lab wykrywają nowe zagrożenie, a bardziej szczegółowy raport zawierający szczegóły techniczne znajduje się w serwisie Securelist.

Zagrożenie to zostało wykryte przez nasze automatyczne technologie heurystyczne. Zatem aby zapewnić sobie bezpieczeństwo przed TajMahal i jemu podobnymi, najlepiej jest używać rozwiązań ochronnych posiadających udowodnioną skuteczność, np. Kaspersky Endpoint Security for Business.

Porady