O nouă campanie de spionaj cibernetic folosește instrumente nemaivăzute până acum
Cercetătorii Kaspersky Lab au descoperit un spyware, numit TajMahal, care include foarte multe instrumente de spionaj cibernetic diferite și care este activ de cel puțin cinci ani.
În cadrul Kaspersky Security Analyst Summit (SAS) din Singapore, cercetătorii Kaspersky Lab au descris o campanie sofisticată de spionaj cibernetic care a fost descoperită la sfârșitul anului trecut. Campania, care părea să nu lase nicio urmă care să ducă la atacatori, folosește un malware numit TajMahal, pe care cercetătorii l-au descris ca „un cadrul APT sofisticat din punct de vedere tehnic creat pentru spionaj cibernetic extins”, scrie oodaloop.com.
Cercetătorii au descoperit că TajMahal a fost activ cel puțin din 2013 și până acum au identificat doar o victimă a acestui malware, mai exact o entitate diplomatică a unei țări din Asia Centrală care a fost țintită în 2014. Cu toate acestea, cercetătorii sunt de părere că au fost mai multe victime deoarece este un malware foarte sofisticat care necesită o investiție uriașă și de aceea este foarte puțin probabil să fi fost folosit doar pentru o singură victimă.
Nu în fiecare zi cercetătorii în securitate descoperă un grup de spionaj cibernetic sponsorizat la nivel guvernamental. Și mai rară este apariția unui spyware care să aibă 80 de componente diferite, capabile de trucuri unice și ciudate de spionaj cibernetic – și cine le-a păstrat secrete mai mult de cinci ani, scrie wired.com.
Alexey Shulmin este cercetătorul în securitate care a dezvăluit descoperirea făcută de Kaspersky: un nou spyware adaptabil cu multe plugin-uri pentru diferite sarcini de spionaj. TajMahal conține 80 de modul și nu conține doar instrumente de spionaj care înregistrează imaginile apărute pe ecran și tastele folosite la tastatură, dar și alte trucuri care nu au mai fost văzute până acum. Poate intercepta documentele care așteaptă să fie printate și poate urmări „fișiere de interes”, sustrăgându-le automat dacă un dispozitiv USB este introdus într-un dispozitiv infectat. Și acest unic instrument de spionaj, spune Kaspersky, nu include niciuna dintre amprentele grupurilor de hackeri susținuți de guverne care sunt cunoscute.
“Aceasta este o operaţiune APT complexă din punct de vedere tehnic, proiectată pentru acţiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată şi folosită timp de cel puţin cinci ani, cea mai veche mostră datând din aprilie 2013, şi cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fişierului utilizat pentru a extrage datele furate. Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite Tokyo şi Yokohama“, notează specialiştii, scrie bursa.ro.
În timp ce Tokyo este dotat cu aproximativ trei module şi conţine funcţionalitatea backdoor principală conectându-se periodic la serverele de comandă şi control, Yokohama este o infrastructură de spionaj completă, care include un sistem de fişiere virtuale (VFS) cu toate plugin-urile, resurse proprii şi open source şi fişiere de configurare.