SecurityWorldMarket

2019-06-06

Kaspersky Lab har upptäckt sällsynt spionplattform

Forskare vid säkerhetsföretaget Kaspersky Lab har upptäckt ett tekniskt sofistikerat ramverk för cyberspionage som har varit aktivt sedan åtminstone 2013 och som inte verkar vara kopplat till några kända hackergrupper. Ramverket, som forskarna kallar TajMahal, har cirka 80 skadliga moduler och innehåller funktioner som inte identifierats tidigare i ett så kallat APT (Advanced Persisant Threat), till exempel förmågan att stjäla information från skrivarköer och att fånga tidigare öppnade filer från en USB-enhet nästa gång den återansluts. Kaspersky Lab har hittills bara sett ett offer, en utländsk centralasiatisk ambassad, men det är troligt att andra har blivit drabbade.

Kaspersky Labs forskare upptäckte TajMahal i slutet av 2018. Det är ett tekniskt sofistikerat APT-ramverk utformat för omfattande cyberspionage. En analys av den skadliga programvaran visar att plattformen har utvecklats och använts under åtminstone de senaste fem åren, med det tidigaste exemplet daterat till april 2013 och det senaste i augusti 2018.

Namnet TajMahal kommer från namnet på den fil som användes för att dra ut stulen data. TajMahal-ramverket antas innehålla två huvudpaket, "Tokyo" och "Yokohama".

Tokyo är det minsta av de två, med cirka tre moduler. Den innehåller huvudfunktionen för bakdörren och kopplar regelbundet till kommando- och kontrollservrarna. Tokyo använder PowerShell och stannar kvar i nätverket även efter att intrånget har flyttat till nästa steg i processen.

Steg två är Yokohamapaketet: ett fullt beväpnat spionramverk. Yokohama innehåller ett virtuellt filsystem (VFS) med alla plugins, öppen källkod, slutna tredjepartsbibliotek och konfigurationsfiler. Det finns nästan 80 moduler och de inkluderar lastare, orkestrerare, kommando- och kontrollkommunikation för, inspelning av ljud, keyloggers, fånga skärmdumpar och bilder från webbkameror, samt fånga dokument och krypteringsnycklar.

TajMahal kan också få tag på cookies från webbläsare, samla säkerhetskopieringslistor för Apples mobila enheter, stjäla data från en användares cd-skiva eller dokument i en skrivarkö. Det kan också begära att få tillgång till en viss fil från en USB-enhet nästa gång den ansluts till en dator.

De drabbade systemen som Kaspersky Lab hittade var smittade med både Tokyo och Yokohama. Detta tyder på att Tokyo användes i ett första skede, för att ge tillgång till det fullt funktionella Yokohamapaketet hos intressanta offer.

Hittills har endast ett offer observerats – en centralasiatisk diplomatisk enhet utomlands, som infekterades 2014. Distributions- och infektionsvektorerna för TajMahal är för närvarande okända.

– TajMahal-ramverket är en mycket intressant och spännande upptäckt. Den är tekniskt sofistikerad och har funktioner som vi inte tidigare har sett hos avancerade hackergrupper. Ett antal frågor kvarstår. Det verkar till exempel mycket osannolikt att en så stor investering skulle göras för endast ett offer. Detta tyder på att det antingen finns ytterligare offer, som ännu inte identifierats, eller ytterligare versioner av denna skadliga programvara där ute, eller möjligen både och. Distributions- och infektionsvektorerna för hotet förblir också okända. På något sätt har den stannat under radarn i över fem år. Om detta beror på inaktivitet eller något annat är en spännande fråga. Det finns inga ledtrådar eller kopplingar till kända grupper, så vitt vi vet, säger Alexey Shulmin, sårbarhetsanalytiker på Kaspersky Lab.


Leverantörer
Till toppen av sidan