O nouă infrastructură complexă de spionaj cibernetic, botezată TajMahal, a fost descoperită recent de către specialiştii Kaspersky Lab, aceasta fiind capabilă să fure informaţii din lista de aşteptare a imprimantei, dar şi fişiere de pe un dispozitiv USB cu prima ocazie când acesta este conectat la computer.
Conform unui comunicat de presă al producătorului de soluţii de securitate informatică, platforma ar fi activă cel puţin din anul 2013 şi nu pare să aibă vreo legătură cu niciun grup cunoscut de atacatori.
Până în prezent, Kaspersky Lab a observat că o ambasadă din Asia Centrală ar fi căzut victimă unui astfel de atac, dar este posibil ca şi alte instituţii să fi fost afectate.
Cercetătorii Kaspersky Lab au descoperit TajMahal la sfârşitul anului 2018.
"Aceasta este o operaţiune APT complexă din punct de vedere tehnic, proiectată pentru acţiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată şi folosită timp de cel puţin cinci ani, cea mai veche mostră datând din aprilie 2013, şi cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fişierului utilizat pentru a extrage datele furate. Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite Tokyo şi Yokohama", notează specialiştii.
În timp ce Tokyo este dotat cu aproximativ trei module şi conţine funcţionalitatea backdoor principală conectându-se periodic la serverele de comandă şi control, Yokohama este o infrastructură de spionaj completă, care include un sistem de fişiere virtuale (VFS) cu toate plugin-urile, resurse proprii şi open source şi fişiere de configurare.
Tokyo utilizează PowerShell şi rămâne în reţea chiar şi după ce operaţiunea a trecut la etapa a doua, iar la Yokohama există aproape 80 de module în total, care conţin loaders, sisteme de comandă şi control, sisteme de înregistrare audio, keyloggers, sisteme de copiat ecranul şi camera web, sisteme care pot fura documente şi chei de criptare.
Infrastructura TajMahal poate să fure cookie-urile de browser, să obţină lista de backup pentru dispozitive mobile Apple, să fure datele de pe un CD realizat de o victimă, precum şi documente aflate pe lista de aşteptare a imprimantei. De asemenea, poate solicita furtul unui anumit fişier de pe un stick USB văzut anterior, iar fişierul va fi copiat data viitoare când USB-ul este conectat la computer.
Potrivit sursei citate, sistemele vizate, descoperite de Kaspersky Lab, au fost infectate atât cu Tokyo, cât şi cu Yokohama.
Până la momentul actual, vectorii de distribuţie şi infectare pentru TajMahal sunt necunoscuţi, precizează Kaspersky Lab.
1. fără titlu
(mesaj trimis de anonim în data de 12.04.2019, 09:49)
Încă un fake news...nimic concret. Doar reclamă mascată la kaslab!