Istraživači kompanije Kaspersky Lab su otkrili tehnički sofisticirani sistem sajber špijunaže koji je aktivan barem od 2013. godine i ne izgleda povezan ni sa jednim poznatim akterom pretnji. Ovaj sistem, koga su istraživači nazvali TajMahal, sadrži oko 80 malicioznih modula i uključuje do sada neviđenu funkcionalnost u naprednoj, upornoj pretnji, kao što je sposobnost da se ukrade informacija sa dokumenata poslatih na stampanje i da se preuzmu prethodno viđeni fajlovi sa USB uređaja pri prvom naredom povezivanju. Kompanija Kaspersky Lab je do sada uvidela samo jednu žrtvu, ambasadu strane zemlje u srednjoj Aziji, ali vrlo je moguće da su i drugi pogođeni.
Istraživači kompanije Kaspersky Lab su otkrili TajMahal krajem 2018. godine. Radi se o tehnički sofisticiranom APT okviru dizajniranom za ekstenzivnu sajber špijunažu. Analiza malvera pokazuje da je platforma razvijena i korišćena najmanje tokom poslednjih pet godina, uz najraniji uzorak koji datira od aprila 2013. i najskoriji od avgusta 2018. godine. Ime TajMahal potiče od imena fajla korišćenog za povlačenje ukradenih podataka.
Smatra se da TajMahal okvir uključuje dva glavna paketa, samoimenovanih kao ‘Tokyo’ i ‘Yokohama’.
Tokyo je manji od ova dva, sa oko tri modula. Sadrži glavnu backdoor funkcionalnost, i povremeno se povezuje sa komandnim i kontrolnim serverima. Tokyo koristi PowerShell i ostaje u mreži čak i nakon što je upad prešao u drugu fazu.
Druga faza je Yokohama paket: potpuno osposobljen okvir špijunaže. Yokohama uključuje Virtual File System (VFS) sa svim dodacima, otvorenim izvorima i vlasničkim bibliotekama trećih strana i konfiguracijskim fajlovima. Ukupno ima blizu 80 modula, i oni obuhvataju loader-e, orkestratore, komandne i kontrolne komunikatore, audio rekordere, keylogger-e, grabljivce slika ekrana i sa web kamera, kradljivce dokumenata i kriptografskog ključa.
TajMahal je takođe sposoban da preuzme kolačiće pretraživača, prikupi rezervnu kopiju Apple mobilnih uređaja, ukrade podatke sa CD-a narezanog od strane žrtve, kao i dokumente koji stoje na čekanju za štampač. Takođe može da zahteva krađu određenog fajla sa prethodno viđenog USB uređaja, i fajl će biti ukraden kada se sledeći put USB poveže sa računarom.
Ciljani sistemi koje je kompanija Kaspersky Lab pronašla bili su zaraženi i sa Tokyo i sa Yokohama paketom. Ovo ukazuje na to da je Tokyo korišćen kao prva faza zaražavanja, implementirajući u potpunosti funkcionalan Yokohama paket interesantnim žrtvama, a zatim je ostavljen kao rezerva.
Za sada, primećena je samo jedna žrtva – diplomatski entitet u srednjoj Aziji, zaražen od 2014. godine. Vektori distribucije i zaraze za TajMahal trenutno nisu poznati.
“TajMahal okvir je veoma zanimljivo i intrigantno otkriće. Tehnička sofisticiranost je nesumnjiva i sadrži funkcionalnost kakvu nismo videli ranije kod naprednih aktera pretnji. Ostaje nam mnoštvo pitanja. Na primer, čini se izuzetno neverovatnim da bi se tako velika investicija preduzela za samo jednu žrtvu. Ovo ukazuje na to da ima još žrtava koje još uvek nisu identifikovane, ili dodatnih verzija ovog malvera koje još nisu upotrebljene. Vektori distribucije i zaraze za pretnju takođe ostaju nepoznati. Ova pretnja je nekako uspela da ostane neprimećena preko pet godina. Nema nikakvih naznaka koje možemo da pripišemo niti veza koje možemo da nađemo sa poznatim grupama pretnji”, rekao je Aleksej Šulmin (Alexey Shulmin), vodeći analitičar malvera u kompaniji Kaspersky Lab.
Svi proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju ovu pretnju.
Da ne biste postali žrtva ciljanih napada, poznatih i nepoznatih aktera pretnji, istraživači kompanije Kaspersky Lab preporučuju implementaciju sledećih mera:
- Koristite napredne bezbednosne alate kao što je Kaspersky Anti Targeted Attack Platform (KATA) i vodite računa o tome da vaš bezbednosni tim ima pristup najnovijim informacijama o sajber pretnjama.
- Vodite računa o tome da ažurirate sve softvere koji se redovno koriste u vašoj organizaciji, naročito nakon izdanja novih bezbednosnih zakrpa. Bezbednosni proizvodi sa opcijama Vulnerability Assessment i Patch Management vam mogu pomoći da automatizujete ove procese.
- Izaberite dokazano bezbednosno rešenje kao što je Kaspersky Endpoint Security koje je opremljeno sposobnostima detekcije zasnovane na ponašanju, za efikasnu zaštitu od poznatih i nepoznatih pretnji, uključujući eksploatisanje.
- Pobrinite se da vaši zaposleni imaju svest o osnovama sajber bezbednosti, s obzirom na to da mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama socijalnog inženjeringa.
Izveštaj o TajMahal APT okviru možete pronaći na Securelist.