Перейти к основному разделу

Вредоносный инструмент, получивший название TajMahal (по имени одного из используемых им файлов), содержит более 80 различных модулей, которые обладают крайне широкими функциями, в том числе такими, какие не встречались ранее в инструментарии для кибершпионажа.

К настоящему времени «Лаборатории Касперского» удалось обнаружить лишь одну жертву TajMahal – посольство среднеазиатской страны, однако исследователи уверены, что целями злоумышленников, скорее всего, стало гораздо больше организаций.

В состав TajMahal входят два основных модуля, которые называются Tokyo и Yokohama. Tokyo – меньший из них по размеру и функциональности, но именно с него начинается атака. Он содержит один бэкдор (программу для удалённого контроля) и модуль для коммуникации с сервером злоумышленников. Tokyo частично написан на PowerShell и остаётся в заражённой системе даже после того, как операция кибершпионажа вошла в основную стадию.

За эту основную стадию отвечает пакет Yokohama – настоящий «швейцарский нож» кибершпиона. Yokohama поддерживает собственную виртуальную файловую систему (VFS) со всеми плагинами, вспомогательные библиотеки и конфигурационные файлы. В общей сложности пакет насчитывает около 80 модулей, и среди их возможностей перехват нажатий клавиш, осуществление аудиозаписей и снимков экрана, перехват трансляции веб-камеры, кража документов и ключей шифрования.

Благодаря такому многообразию инструментов TajMahal способен получать доступ к cookie-файлам браузеров и спискам резервного копирования для мобильных устройств Apple, красть данные, которые пользователь собирается записать на компакт-диск, а также документы из очереди на печать. Помимо этого, кибершпионская платформа может украсть определённый файл, который ранее был замечен ею на USB-флешке, – кража происходит при последующем подключении флешки к компьютеру жертвы.              

Анализ вредоносного кода показал, что платформа TajMahal была создана по меньшей мере 6 лет назад: первые найденные образцы зловредов относятся к апрелю 2013 года. Последнее обновление инструмента для кибершпионажа проводилось в августе 2018-го. Способы распространения и векторы заражения TajMahal исследователям пока неизвестны.

«TajMahal – очень интересная и интригующая находка. Технические возможности этой платформы поражают, она способна делать то, чего мы никогда не видели ранее даже в самых сложных операциях кибершпионажа, – рассказывает Алексей Шульмин, антивирусный эксперт «Лаборатории Касперского». – Несмотря на тщательный анализ TajMahal у нас ещё осталось много вопросов. Например, кто стоит за этой платформой, и как им удавалось оставаться незамеченными все эти годы? Пока мы не можем связать этих злоумышленников ни с одной из известных групп атакующих. Кроме того, маловероятно, что всё это техническое совершенство было создано исключительно для одной цели, которую нам удалось обнаружить. Скорее всего, жертв гораздо больше, или же эти злоумышленники используют дополнительные инструменты в других атаках, или и то и другое сразу».

Все решения «Лаборатории Касперского» успешно распознают и блокируют TajMahal.

Подробнее об угрозе можно узнать здесь: Securelist.

«Лаборатория Касперского» обнаружила новую операцию кибершпионажа: вопросов пока больше, чем ответов

«Лаборатория Касперского» обнаружила крайне сложную и продуманную в техническом плане платформу для кибершпионажа, ее создателей пока не удалось идентифицировать.
Kaspersky Logo