O platformă rară de spionaj cibernetic putea fura informații din lista de așteptare a imprimantei

 

Cercetătorii Kaspersky Lab au descoperit o infrastructură complexă de spionaj cibernetic, activă cel puțin din 2013 și care nu pare să aibă legătură cu niciun grup cunoscut de atacatori.

Platforma, pe care cercetătorii au numit-o TajMahal, conține în jur de 80 de module malware și funcționalități care nu au mai fost văzute niciodată la un grup APT (Advanced persistent threat – ameninţare persistentă avansată; grup care obţine acces neautorizat la o reţea de calculatoare şi care rămâne nedetectat foarte mult timp), cum ar fi abilitatea de a fura informații din lista de așteptare a imprimantei și fișiere de pe un dispozitiv USB când USB-ul va fi conectat din nou la un computer.

Cercetătorii Kaspersky Lab au descoperit TajMahal la sfârșitul anului 2018. Aceasta este o operațiune APT complexă din punct de vedere tehnic, proiectată pentru acțiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată și folosită timp de cel puțin cinci ani, cea mai veche mostră datând din aprilie 2013 și cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fișierului utilizat pentru a extrage datele furate.

Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite „Tokyo” și „Yokohama”.

Tokyo este cel mai mic dintre cele două, cu aproximativ trei module. Acesta conține funcționalitatea backdoor principală și se conectează periodic la serverele de comandă și control. Tokyo utilizează aplicaţia PowerShell și rămâne în rețea chiar și după ce operațiunea a trecut la etapa a doua.

Etapa a doua este reprezentată de pachetul Yokohama: o infrastructură de spionaj completă. Yokohama include un sistem de fișiere virtuale (VFS) cu toate plugin-urile, resurse proprii și open source și fișiere de configurare. Există aproape 80 de module în total, care conțin loaders, sisteme de comandă și control, sisteme de înregistrare audio, keyloggers, sisteme de copiat ecranul și camera web, sisteme care pot fura documente și chei de criptare.

TajMahal poate, de asemenea, să fure cookie-urile de browser, să obțină lista de backup pentru dispozitive mobile Apple, să fure datele de pe un CD realizat de o victimă, precum și documente aflate pe lista de așteptare a imprimantei. De asemenea, poate solicita furtul unui anumit fișier de pe un stick USB văzut anterior, iar fișierul va fi copiat următoarea dată când USB-ul este conectat la computer.

Sistemele vizate, descoperite de Kaspersky Lab, au fost infectate atât cu Tokyo, cât și cu Yokohama. Acest fapt sugerează că Tokyo a fost folosit ca o primă etapă de infectare, lansând pachetul complet funcțional Yokohama pe dispozitivele victimelor interesante și apoi lăsat acolo, ca backup.

Până acum, a fost observată o singură victimă – o entitate diplomatică din Asia Centrală, infectată înainte de 2014. Vectorii de distribuție și infectare pentru TajMahal sunt în prezent necunoscuți.

„Platforma TajMahal este o descoperire foarte interesantă. Are o complexitate tehnică indubitabilă și funcționalități pe care nu le-am mai văzut până acum la atacatorii avansați. După această descoperire, rămân o serie de întrebări. De exemplu, pare foarte puțin probabil ca o astfel de investiție uriașă să se realizeze pentru o singură victimă. Aceasta sugerează că există victime care nu au fost încă identificate sau versiuni suplimentare ale acestui malware sau, eventual, ambele ipoteze. Vectorii de distribuție și infectare pentru această amenințare rămân, de asemenea, necunoscuți. Cumva, a rămas nedescoperită timp de peste cinci ani. Dacă aceasta se datorează relativei inactivități sau altui fapt, iată o altă întrebare interesantă. Nu există indicii pentru a face o atribuire și nici legături detectabile cu alte grupuri cunoscute”, explică Alexey Shulmin, analist principal de malware la Kaspersky Lab.

Citiţi şi:

Atac cibernetic pe toate fronturile! Halucinant dar real

Efectul Bumerang. Bitdefender: «WannaCry» poate fi un pretext ca actorii statali să-şi creeze arme cibernetice mai sofisticate

FBI se preface că îi protejează pe americani de atacuri cibernetice și dă vina pe ruși

 

yogaesoteric
26 mai 2020

 

Also available in: Français

Spune ce crezi

Adresa de email nu va fi publicata

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More