TajMahal: nově objevená kyberšpionážní skupina s unikátními nástroji a neznámým původem

Odborníci společnosti Kaspersky Lab odhalili technicky velmi vyspělou kyberšpionážní skupinu, která je aktivní už od roku 2013. Dostupná data nepoukazují na žádnou známou hackerskou skupinu, na kterou by byla napojená. Kostru této skupiny, kterou odborníci nazvali TajMahal, tvoří okolo 80 škodlivých modulů, které doposud nebyly pozorovány u pokročilých trvalých hrozeb (APT). Díky nim jsou útočníci schopni ukrást informace čekající na vytištění v tiskárně nebo soubory z USB disků po jejich opětovném připojení k počítači. Odborníci zatím zaregistrovali pouze jednu oběť – velvyslanectví středoasijského státu – je ale možné, že se objeví více dotčených subjektů.
K odhalení této kyberzločinné skupiny došlo na konci roku 2018. Jedná se o technicky velmi sofistikovanou skupinu APT, jejímž hlavním cílem je rozsáhlá kybernetická špionáž. Analýza malwaru prozradila, že celá platforma byla vyvinula přinejmenším před pěti lety – nejstarší vzorek pochází z dubna 2013 a nejaktuálnější ze srpna loňského roku. Pojmenování TajMahal pochází z názvu souboru použitého k extrahování ukradených dat.
Skupina TajMahal pravděpodobně používá dva balíčky nástrojů, které si útočníci pojmenovali Tokyo a Yokohama.
Menší z nich, Tokyo, zahrnuje tři moduly. Obsahuje hlavní backdoorovou funkcionalitu a pravidelně se připojuje k centrálnímu uzlu (C&C serveru). Využívá také PowerShell a v napadené síti zůstává i poté, co se útok posune do druhé fáze.
Ve druhé fázi přichází na řadu balíček Yokohama, který je špičkově vybaven pro kybernetickou špionáž. Yokohama zahrnuje Virtual File System (VFS) se všemi pluginy, open-source a proprietární knihovny třetích stran a konfigurační soubory. Celkem existuje skoro 80 modulů mezi něž patří loadery, orchestratory, komunikace s centrálními uzly, záznam zvuku, keyloggery, snímače plochy a webové kamerky, nástroje pro krádeže dokumentů a kryptografických klíčů.
TajMahal je schopný ukrást cookies z prohlížeče, shromáždit seznam záloh mobilních zařízení Applu, odcizit data z vypáleného CD nebo dokumenty čekající ve frontě na tisk. Může také požádat o krádež určitého souboru z dříve připojeného USB disku – k samotné krádeži dojde až po opětovném vložení disku do PC.
Systémy, na které útočníci podle Kaspersky Lab zaútočili, byly infikovány jak balíčkem Tokyo, tak Yokohama. Na základě toho odborníci soudí, že Tokyo útočníci využívají jako první fázi útoku, která má do systému dopravit plně funkční balíček Yokohama. Zároveň ale Tokyo v napadeném systému zůstává pro případné účely zálohování.
Doposud odborníci zaznamenali pouze jednu oběť – velvyslanectví středoasijské země, napadené v roce 2014. Odborníci zatím nepřišli na to, jaké kanály TajMahal používá pro distribuci svého škodlivého kódu.
„Skupina TajMahal je velmi pozoruhodná hned z několika důvodů. Je neoddiskutovatelně velmi technicky vyspělá, přičemž rozsah funkcí, které používá, jsme doposud u žádné jiné APT skupiny neviděli. Domníváme se, že vzhledem k vynaloženým prostředkům do takto rozvinuté infrastruktury, nebude mít skupina na kontě pouze jednu oběť. Buď již nyní existují další, o kterých zatím nevíme, nebo se útočníci připravují na další útok. Záhadou je zatím také způsob distribuce malwaru, který zůstával neodhalen více než pět let, a identita útočníků,“ komentuje Alexey Shulmin, malwarový analytik ze společnosti Kaspersky Lab. Všechny produkty Kaspersky Lab úspěšně detekují a blokují tuto hrozbu. Více informací se o skupině TajMahal dozvíte na blogu Securelist.com. (16.4.2019)